吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 65612|回复: 278
收起左侧

[PC样本分析] 一枚DDOS木马后门病毒分析

    [复制链接]
龙飞雪 发表于 2015-10-21 17:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-10-21 18:33 编辑

一、样本信息


文件名称:803c617e665ff7e0318386e24df63038

文件大小:61KB

病毒名称:DDoS/Nitol.A.1562

MD5:803c617e665ff7e0318386e24df63038

Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c


二、样本行为


0x1.打开与当前病毒进程文件同名的信号互斥量,判断信号互斥量是否存在,防止病毒行为的二次执行。


图片1.png

0x2.通过注册表"SOFTWARE\\JiangMin\\""SOFTWARE\\rising\\",判断江民、瑞星杀毒软件的是否存在。


图片2.png


0x3.创建进程快照,判断360的杀软进程360sd.exe360rp.exe是否存在;如果存在,则结束360杀毒的进程360sd.exe和360rp.exe。


图片3.png


图片4.png

0x4.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件是否存在;

如果江民、瑞星的杀软存在,则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。


4

4


0x5.创建线程利用IPC入侵用户的主机,种植木马病毒。利用弱口令猜测用户主机的用户名和密码,

如果入侵成功则拷贝当前病毒进程文件到用户主机系统中,然后运行病毒文件,创建病毒进程。


图片6.png


图片7.png


7

7


如果当前病毒进程IPC入侵用户的局域网的主机系统成功,则拷贝当前病毒进程文件到用户的主机系统中,然后运行病毒文件,创建病毒进程。


图片9.png

图片10.png


10

10


0x6.创建线程,在移动设备盘中释放病毒文件anturun.inf,进行病毒的传播。


图片12.png

1.判断遍历的磁盘是否是移动设备盘,如果是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。


12

12


2.判断遍历的移动设备盘中是否存在anturun.inf文件夹;如果存在,则将其改名为随机字符组成的文件夹名称;删除原来正常的anturun.inf文件,创建病毒文件anturun.inf。


图片14.png


图片15.png

3.经过整理后,病毒创建的anturun.inf文件。


16

16


4.为病毒文件anturun.inf创建执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件

创建病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。


图片17.png

0x7.通过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。


图片18.png

0x8.如果病毒服务"Jklmno Qrstuvwx Abc"不存在,则创建病毒服务,然后启动病毒服务。


1.判断当前病毒进程是否是运行在"C:\\WINDOWS\\system32"目录下;如果不是,则拷贝当前病毒进程的文件,创建和释放随机字符组成名称的病毒文件,

如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。


图片19.png


图片20.png

2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe创建病毒服务"Jklmno Qrstuvwx Abc";

如果该病毒服务已经存在并且打开病毒服务失败,则删除病毒服务、删除病毒文件自身;如果病毒服务不存在,则启动病毒服务"Jklmno Qrstuvwx Abc"。


图片21.png


图片22.png


图片23.png

3.如果病毒服务"Jklmno Qrstuvwx Abc"启动成功,则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。


图片24.png


图片25.png

0x9.如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则启动病毒服务。


图片26.png


1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数,用于控制服务的状态。


图片27.png


2.设置创建的病毒服务的状态,创建互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。


图片28.png


0x10.创建线程,主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接留下后门,然后将用户的电脑的信息如操作系统的版本信息CPU硬件信息系统内存等信息发送给远程控制的病毒作者的服务器上。


图片29.png

1.主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接。


图片30.png


图片31.png

2.获取用户的电脑信息如操作系统的版本信息CPU硬件信息系统内存等信息,将其发送到病毒作者的服务器网址"zhifan1314.oicp.net"上。


图片32.png


图片33.png

0x11.接受病毒作者的从远程发送来的控制命令,解析远程控制命令进行相关的控制操作,尤其是创建很多的网络僵尸线程,导致用户的电脑和系统主机产生”拒绝服务”的行为。


图片34.png

1.控制命令1-"2",创建很多网络连接操作的僵尸线程,IP地址为"zhifan1314.oicp.net"


图片35.png

2.控制命令2-"3",创建浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"创建很多发送Http网络请求的网络僵尸线程,IP地址为"zhifan1314.oicp.net"


图片36.png


图片37.png


图片38.png

3.控制命令3-"4",创建很多网络操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。


图片39.png

4.控制命令4-"6",通过互斥信号量"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行;

如果已经执行,则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务创建的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"


图片40.png

5.控制命令5-"16""17",从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程。


图片41.png

6.控制命令6-"18",如果互斥信号量"Jklmno Qrstuvwx Abc"已经存在,则释放信号互斥量"Jklmno Qrstuvwx Abc";从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程;

如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则删除病毒服务"Jklmno Qrstuvwx Abc",结束当前进程。


图片42.png


图片43.png

7.控制命令6-"19",为当前病毒进程,运行iexplore.exe程序,创建IE进程。


图片44.png

8.控制命令6-"20",为桌面窗口,创建iexplore.exe进程。


图片45.png

0x12.死循环,创建无限的线程-用以创建网络僵尸线程和接受病毒作者的远程控制,具体的行为上面已经分析的很详细了(不重复),

只不过这次病毒进程主动连接的病毒作者的服务器IP 地址是104.107.207.189:8749


图片46.png


图片47.png



病毒行为总结-文字版


0x1.打开与当前病毒进程文件同名的信号互斥量,判断信号互斥量是否存在,防止病毒行为的二次执行。


0x2.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件的是否存在。


0x3.创建进程快照,判断360的杀软进程360sd.exe360rp.exe是否存在;如果存在,则结束360杀毒的进程360sd.exe和360rp.exe。


0x4.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件是否存在;如果江民、瑞星的杀软存在,则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。


0x5.创建线程利用IPC入侵用户的主机,种植木马病毒。利用弱口令猜测用户主机的用户名和密码,如果入侵成功则拷贝当前病毒进程文件到用户主机系统中,然后运行病毒文件,创建病毒进程。


0x6.创建线程,在移动设备盘中释放病毒文件anturun.inf,进行病毒的传播。

1.判断遍历的磁盘是否是移动设备盘,如果是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。

2.判断遍历的移动设备盘中是否存在anturun.inf文件夹;如果存在,则将其改名为随机字符组成的文件夹名称;删除原来正常的anturun.inf文件,创建病毒文件anturun.inf。

3.为病毒文件anturun.inf创建执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件,创建病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。


0x7.通过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。


0x8.如果病毒服务"Jklmno Qrstuvwx Abc"不存在,则创建病毒服务,然后启动病毒服务。

1.判断当前病毒进程是否是运行在"C:\\WINDOWS\\system32"目录下;如果不是,则拷贝当前病毒进程的文件,创建和释放随机字符组成名称的病毒文件,如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。

2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe创建病毒服务"Jklmno Qrstuvwx Abc";如果该病毒服务已经存在并且打开病毒服务失败,则删除病毒服务、删除病毒文件自身;如果病毒服务不存在,则启动病毒服务"Jklmno Qrstuvwx Abc"

3.如果病毒服务"Jklmno Qrstuvwx Abc"启动成功,则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。


0x9.如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则启动病毒服务。

1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数,用于控制服务的状态。

2.设置创建的病毒服务的状态,创建互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。


0x10.创建线程,主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接留下后门,然后将用户的电脑的信息如操作系统的版本信息CPU硬件信息系统内存等信息发送给远程控制的病毒作者的服务器上。

1.主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接。

2.获取用户的电脑信息如操作系统的版本信息、CPU硬件信息、系统内存等信息,将其发送到病毒作者的服务器网址"zhifan1314.oicp.net"上。


0x11.接受病毒作者的从远程发送来的控制命令,解析远程控制命令进行相关的控制操作,尤其是创建很多的网络僵尸线程,导致用户的电脑和系统主机产生”拒绝服务”的行为。

1.控制命令1-"2",创建很多网络连接操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。

2.控制命令2-"3",创建浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"并创建很多发送Http网络请求的网络僵尸线程,IP地址为"zhifan1314.oicp.net"。

3.控制命令3-"4",创建很多网络操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。

4.控制命令4-"6",通过互斥信号"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行;如果已经执行,则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务创建的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

5.控制命令5-"16""17",从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程。

6.控制命令6-"18",如果互斥信号量"Jklmno Qrstuvwx Abc"已经存在,则释放信号互斥量"Jklmno Qrstuvwx Abc";从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程;如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则删除病毒服务"Jklmno Qrstuvwx Abc",结束当前进程。

7.控制命令6-"19",为当前病毒进程,运行iexplore.exe程序,创建IE进程。

8.控制命令6-"20",为桌面窗口,创建iexplore.exe进程。


0x12.死循环,创建无限的线程-用以创建网络僵尸线程和接受病毒作者的远程控制,具体的行为上面已经分析的很详细了(不重复),只不过这次病毒进程主动连接的病毒作者的服务器IP 地址是104.107.207.189:8749



免费评分

参与人数 65吾爱币 +12 热心值 +64 收起 理由
幽冥狂 + 1 我很赞同!
leo_zch + 1 谢谢@Thanks!
blackstar + 1 + 1 我很赞同!
leter + 1 + 1 热心回复!
3281588614 + 1 已答复!
Impressed_ + 1 + 1 我很赞同!
zyz888 + 1 + 1 我很赞同!
a540788 + 1 + 1 我很赞同!
郑镇焜 + 1 + 1 看着有点像鬼影的源码
siuhoapdou + 1 + 1 谢谢@Thanks!
伸个懒腰. + 1 + 1 谢谢@Thanks!
Prick + 1 + 1 牛逼啊
c4951491235 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
佳佳0822 + 1 + 1 真厉害
610100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
casetogod + 1 用心讨论,共获提升!
无极166 + 1 谢谢@Thanks!
暗影 + 1 用心讨论,共获提升!
罹天烬 + 1 我很赞同!
枭叁爺 + 1 谢谢@Thanks!
619096932 + 1 鼓励转贴优秀软件安全工具和文档!
bolixin1992 + 1 我很赞同!
咚次哒次 + 1 谢谢@Thanks!
loop_ + 1 谢谢@Thanks!
liu0604 + 1 我很赞同!
maomaosky + 1 我很赞同!
0757t + 1 学习了,高手啊!
947449938 + 1 我很赞同!
暗影流香 + 1 谢谢@Thanks!
miaohaojian8 + 1 谢谢@Thanks!
乱月 + 1 楼楼好棒
lydxliusun + 1 鼓励转贴优秀软件安全工具和文档!
shew2356 + 1 鼓励转贴优秀软件安全工具和文档!
by小白菜 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
全家捅 + 1 我很赞同!
Lanker9527 + 1 鼓励转贴优秀软件安全工具和文档!
dpf3642022 + 1 看不懂 但是写了这么多 支持一下
kangkai + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
风吹屁屁凉 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
浮若幽梦 + 1 谢谢@Thanks!
Tabeian + 1 已答复!
leo779 + 1 热心回复!
失业 + 1 鼓励转贴优秀软件安全工具和文档!
yuluo5566 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
zcytelove2014 + 1 鼓励转贴优秀软件安全工具和文档!
renchaofly + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
evido + 1 谢谢@Thanks!慢慢学习,谢谢
楚轩 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
那年我高三 + 1 开始打这个IP了,请放心
Nahy + 1 我很赞同!
小星学破解 + 1 666学习了!!!
Tortoise + 1 谢谢@Thanks!
52testg + 1 纯支持
jnlhyhappy + 1 谢谢@Thanks!
无痕软件 + 1 学习鸟。只是360等主程序,不加载驱动,貌.
Thefirst1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
北鱼何为 + 1 已答复!
核客 + 1 我很赞同!
许泽楷 + 1 看着像鬼影压力
cr7890 + 1 谢谢@Thanks!
光之优雅 + 1 已答复!
翼风Fly + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
山顶的一棵草 + 1 表示完全看不懂。纯支持~
dhr008 + 1 鼓励转贴优秀软件安全工具和文档!
Hyabcd + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 龙飞雪 发表于 2015-10-22 09:00
Hyabcd 发表于 2015-10-21 20:55
你的报告太具体了,我发现我怎么写都写不到这么全面

慢慢来,把自己的意思表达清楚,让别人明白即可。
 楼主| 龙飞雪 发表于 2015-10-22 11:36
山顶的一棵草 发表于 2015-10-22 09:31
弱弱的问一句。这个是什么工具。界面挺好看的,想试试~

没有配置文件,你下载一个 微软雅黑的字体,自己按照自己的习惯配置背景颜色,就可以了。

免费评分

参与人数 3热心值 +3 收起 理由
hang333 + 1 谢谢@Thanks!
ZQ05_2012 + 1 我很赞同!
山顶的一棵草 + 1 好的。回头试试~

查看全部评分

773827986 发表于 2015-10-21 20:17
Hyabcd 发表于 2015-10-21 20:55
你的报告太具体了,我发现我怎么写都写不到这么全面
 楼主| 龙飞雪 发表于 2015-10-22 09:06
773827986 发表于 2015-10-21 20:17
我该如何成为尔等大牛!

菜鸟一只,还有很多的路要走,你也很快的。
dhr008 发表于 2015-10-22 09:12
技术贴,认真学习了一下,谢谢分享
 楼主| 龙飞雪 发表于 2015-10-22 09:13
dhr008 发表于 2015-10-22 09:12
技术贴,认真学习了一下,谢谢分享

多谢你的支持。
521_ 发表于 2015-10-22 09:21
我很赞同!
山顶的一棵草 发表于 2015-10-22 09:31
180128kurrz50k50trx4rk.png
弱弱的问一句。这个是什么工具。界面挺好看的,想试试~
头像被屏蔽
七彩棒棒堂 发表于 2015-10-22 09:33
厉害,大神收下我的膝盖
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表