吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 20309|回复: 74
收起左侧

[PC样本分析] 一个感染型木马病毒分析(一)

  [复制链接]
龙飞雪 发表于 2015-7-31 18:15
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-8-2 08:58 编辑

一、          样本信息

样本名称:resvr.exe(病毒母体)
样本大小:70144 字节
病毒名称:Trojan.Win32.Crypmodadv.a
样本MD5:5E63F3294520B7C07EB4DA38A2BEA301
样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895

图片1.png

电脑中了该病毒的典型的特征是系统逻辑盘如U盘里的.doc、.xls、.jpg、.rar格式的文件会被隐藏起来变成.exe格式的病毒文件。
被病毒母体resvr.exe感染的.doc、.xls、.jpg、.rar格式的文件称作为衍生的病毒

二、病毒母体resvr.exe行为预览

1.拷贝病毒母体文件resvr.exe自身到C:\Program Files\Common Files\Microsoft Shared目录下设置其属性为系统属性隐藏并运行创建C:\Program Files\Common Files\Microsoft Shared\resvr.exe进程。

图片2.png

2.在系统“「开始」菜单”添加程序开机启动项的快捷方式”程序\启动\水印标签系统.lnk“即将C:\Program Files\Common Files\Microsoft Shared\resvr.exe设置为开机启动项。

图片3.png

3.遍历系统的磁盘中的文件进行文件遍历针对.doc、.xls、.jpg、.rar格式的文件进行感染或者进行加密处理。

4.绑定监听端口0.0.0.0:40118,说明0.0.0.0这个IP,它可以代表本机的所有IP地址。

图片4.png

5.在病毒母体resvr.exe所在的文件路径下创建X.bat文件,然后调用cmd.exe程序运行X.bat文件删除病毒文件自身。

图片5.png

三、病毒母体resvr.exe的衍生病毒行为具体分析

1. 获取系统文件目录"C:\Program Files\Common Files"拼接字符串得到文件路径"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"。

图片6.png

2.尝试内存映射的方式打开文件路径"C:\\Program Files\\Common Files\\Microsoft Shared\\Index.dat" 下的Index.dat文件;如果Index.dat文件打开成功,判断该文件Index.dat的头2个字节的数据,如果头2字节的word型数据为0x450就进行进程本地提权关闭计算机;如果头2字节的dword数据为0x451则创建线程用来创建操作系统桌面”DISPLAY”窗口大小的对话框并将该对话框置顶。

图片7.png

Index.dat文件的头2个字节为0x450的情况,先本地进程提取然后关闭计算机。

图片8.png

Index.dat文件的头2个字节为0x451的情况,创建置顶的对话框。

图片9.png

3.在系统文件路径"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"下,COM方式创建快捷方式"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\水印标签系统.lnk"。

图片10.png

4.根据文件的路径判断当前运行的病毒进程是病毒母体"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"还是病毒母体resvr.exe感染其他文件如.xls等产生的衍生病毒如石林.xls.exe,还是运行在其他文件路径即非"C:\\Program Files\\Common Files\\Microsoft Shared"下的病毒母体resvr.exe。对于运行的病毒的类型不同,对后面病毒感染文档和隐藏的方式就有所不同。

图片11.png

5.对应4中,病毒运行环境和文件标记导致的病毒运行类型不同,在下面的病毒执行过程中会有3个运行情况。

情况1:当前运行的病毒进程是"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"路径下的病毒母体resvr.exe;

情况2当前运行的病毒进程是"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"路径下的病毒母体resvr.exe;

情况3当前运行的病毒进程是病毒母体resvr.exe感染.doc、.xls、.jpg、.rar格式文件产生的衍生病毒。病毒运行情况的不同,对于病毒隐藏或者加密文件的方式也有所不同,该病毒对于它能感染的文件会有2种处理方式,加密文件和隐藏文件,地址[402004]的值不为-1。

:病毒文件的判断标记即地址[402004]的值是否为-1,这个标记在病毒文件中有,这个文件标记是判断病毒母体与衍生的病毒的依据。

图片12.png

6.对于情况1,判断互斥量"40S118T2013"是否存在,以防止病毒的2次感染;若互斥量"40S118T2013"不存在,就会对用户电脑里的系统逻辑盘下的文件进行遍历,对文件进行病毒的感染或者加密,然后创建socket网络连接,以用户的电脑为service服务端病毒作者client端远程控制用户的电脑

图片13.png


遍历系统的所有逻辑盘如C、D等,进行文件的遍历,然后对文件进行感染。

图片14.png


对用户系统的软盘"ABCDEFGHIJKLMNOPQRSTUVWXYZ"进行文件的遍历,然后对文件进行感染。

图片15.png


病毒会对用户磁盘里的文件进行感染,并且病毒感染文件的方式有2种,感染的标识是0xAABBCCDD。若当前病毒文件的感染标识是0xAABBCCDD,进行文件的加密处理;如果没有感染标记0xAABBCCDD则对.doc、.xls、.jpg、.rar格式的文件进行感染处理。

图片16.png

对用户文件的不同的感染方式。

图片17.png

7.针对情况2,拷贝病毒母体自身文件resvr.exe到文件路径"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"下并设置该病毒文件resvr.exe的属性为系统属性隐藏属性。运行病毒文件"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"创建病毒进程esvr.exe。在当前病毒母体resvr.exe的文件目录下创建X.bat文件,调用cmd.exe程序运行X.bat文件删除该病毒母体resvr.exe文件自身。

图片18.png

图片19.png

图片20.png

图片21.png

8.针对情况3也就是被感染的衍生病毒的运行行为。
打开"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe"文件,根据返回的文件句柄判断病毒母体resvr.exe文件是否已经释放到文件路径C:\Program Files\Common Files\Microsoft Shared下。如果resvr.exe已经释放了,则病毒运行的时候仅仅释放出被隐藏的.doc、.xls、.jpg、.rar格式的文件,然后 ShellExecuteA运行.doc、.xls、.jpg、.rar格式的文件;如果没有释放resvr.exe则先释放病毒文件resvr.exe到路径C:\Program Files\Common Files\Microsoft Shared下,然后ShellExecuteA运行.doc、.xls、.jpg、.rar格式的文件。

图片23.png

图片22.png

图片24.png

连接本地127.0.0.1网络监听套接字发送"7+数据"格式的命令控制用户的电脑即service端(请联系情况1的病毒控制用户电脑的行为)。

图片25.png

运行释放的病毒文件"C:\\Program Files\\Common Files\\Microsoft Shared\\resvr.exe",删除当前病毒进程的文件,结束当前病毒进程。

图片26.png

图片27.png

图片28.png

有些地方还分析不对,对于病毒感染文件的方式时描述不是准确,懒得改了,仅此作为笔记保留吧。后期对这个病毒的远程控制行为和隐藏用户文件以及释放用户文件的过程进行总结一下。论坛学习热情很好,谢谢大家的支持,写病毒分析报告的时候不要这样写,被批别挂我额。大家周末快乐。





免费评分

参与人数 20热心值 +20 收起 理由
1485573943 + 1 我很赞同!
枭叁爺 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
infofans + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
Zome + 1 虽然我看不懂,但是帖子内容很多,花了多少.
javk007 + 1 谢谢@Thanks!
ping02 + 1 热心回复!
yuedingwangji + 1 好厉害
alinjx + 1 热心回复!
红尘旧梦~ + 1 膜拜大牛~
yuluo5566 + 1 我很赞同!
Diors + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
Mr.Mlwareson_V + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
李宏伟 + 1 谢谢@Thanks!
yongtianjian + 1 我很赞同!
hzyhegh + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
qaz375190249 + 1 谢谢@Thanks!
vigers + 1 已答复!
jinwu2029 + 1 谢谢@Thanks!
逍遥枷锁 + 1 谢谢@Thanks!
1094483658 + 1 已答复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

leyuan 发表于 2015-8-17 21:39
强烈支持,顶一个。
小wu 发表于 2015-8-9 15:41
1094483658 发表于 2015-7-31 18:26
 楼主| 龙飞雪 发表于 2015-7-31 18:43
1094483658 发表于 2015-7-31 18:26
感谢分享,学习下思路

谢谢。共同交流交流。
0x18c0 发表于 2015-7-31 19:04
前排围观大神
 楼主| 龙飞雪 发表于 2015-7-31 20:57

初学者,一起交流。
KingMe 发表于 2015-8-1 08:07
一看大牛就知道对逆向分析有很深的功底,学习了
 楼主| 龙飞雪 发表于 2015-8-1 11:05
KingMe 发表于 2015-8-1 08:07
一看大牛就知道对逆向分析有很深的功底,学习了

初学者,一起学习。
无言士 发表于 2015-8-2 10:22
精彩的分析~支持了!
ustclinsy 发表于 2015-8-2 11:30
有时间好好学习下
wangdong123 发表于 2015-8-2 15:58
感谢楼主给新手解惑 谢谢
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表