吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14643|回复: 43
收起左侧

[PC样本分析] 尝试对"鬼魅病毒"样本分析

  [复制链接]
t2st 发表于 2015-11-17 21:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
在论坛看到一个帖子,说一个哥们在QQ群看到一个未知的EXE文件。。

看那个哥们介绍说这个病毒样本是”鬼魅“,通过度娘大概了解了一下,这个病毒还是很变态的,像我这样的小白分析起来应该会很蛋疼,但是为了提高还是硬着头皮分析下。




它寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼魅”一样在中毒电脑上 “阴魂不散”。

那么什么是MBR呢?



基本信息
作者:t2st
时间:2015/11/17
特点:植入主引导记录
测试环境:Windows XP
Size: 113664 bytes
MD5: BECE52287A2096D434B098D7F8A8B32A
SHA1: E977A8E54DEA3A9E540BBD6C4FF7CA8446130855
CRC32: 9E1CF49E

提取字符串

我们通过提取”鬼魅“的字符串发现了一些杀软的字符串,这里猜测鬼魅会检测PC机是否有对应的杀软。



大概有这些,我简单的列出来。



接下来就试试把病毒放进IDA中进行分析,由于我技术不太好,分析错了请轻喷。

创建文件



通过将控制代码给目的驱动设备,并执行相应的操作。



检测PC机上的杀软进程。



其中当检测到explorer.exe和360tray.exe这两个进程会有一个goto操作。



会生成一个tem文件和stinst.log文件,其中tem文件是文件名应该是一个十六进制,而stinst.log的路径byte_407180这个来赋予。



获取系统版本、系统目录以及获得临时文件夹路径。



获得相应进程的完整路径,我自己猜的。



通过SHGetValueA来修改注册表。



发现了一个驱动文件HintRoot.sys,根据它的特性这个应该不是什么好东西。



放进OD里分析一下,虽然不知道能不能分析一些东西来。运气比较好,还是发现它在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下创建了stinst.log这个文件。



还在C:\WINDOWS\system32\下创建了这个14F80660.tmp这个文件,根据前面分析的猜测这个文件名是随机生成的。



还有这个批处理文件,文件名也是随机的。



整理下现在收集到信息:
1.病毒会释放文件,具体释放哪些文件还不太清楚?
2.涉及驱动文件,发现一个HintRoot.sys驱动文件,估计需要安装这个恶意驱动。
3.病毒就检测PC机上的杀软。
4.病毒检测explorer.exe,估计针对这个进程有所操作。
5.会在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下生成stinst.log和随机十六进制文件名的tmp文件。
6.会篡改注册表。
7.C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下生成一个文件名同样是随机的bat文件。
8.在C:\Windows\System32\也生成了随机的十六进制的tem文件。

估计看到这里有的大牛看到要吐槽我了,由于分析能力还有待提高这里只是把前面分析的信息拼凑和整理一下。针对我们整理的信息点继续思考!

按照我们已经了解到的,病毒程序就目前来说大概会释放5个文件。(HintRoot.sys、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\stinst.log、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\****.tem、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\****.bat和C:\Windows\System32\****.tem)

针对这个HintRoot.sys文件,我们尝试全盘检索也没有发现这个文件。这里按照前面的套路,驱动文件是不是也是十六进制随机命名的呢?

检测杀软这个应该没什么好说的了,而针对explorer.exe的操作会不会对它进行了注入呢?先不管了,如果是注入的,我们需要找到那个DLL文件。根据上述信息C:\Windows\System32\也生成了随机的十六进制的tem文件,我们去C:\Windows\System32\看看,结果发现了有趣的东西。



本来说来找一下那个随机十六进制的tem文件的,结果发现了这个sys文件也是十六进制命名的。根据我们前面找到HintRoot.sys文件,初步推测生成的就是这个文件。而那个DLL也是可疑文件,会不会就是注入到explorer.exe中的DLL呢?可是我去看explorer.exe进程中信息并没有发现它,那只好分析下它了。


居然使用了WS2_32.DLL,我们知道WS2_32.DLL是Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。难道这个就是木马的主体?放进IDA里分析一下。

关于获取主机名和地址信息操作





到这里有的累了,直接放OD里看看。



访问百度这个网站,估计是测试网络的连通性。往下走发现了会去访问52lianfa.com这个网站,IP:142.4.103.82。这个网上是DNF游戏的网站,不过现在关了。



今天分析就到这里,感觉还有很多需要学习。去啃书了,一万个小时定律。












免费评分

参与人数 18热心值 +18 收起 理由
小哈龙 + 1 我很赞同!
Mgicdb + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
sudo777 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
hjgbil + 1 我很赞同!
翅膀团 + 1 学习学习
kangkai + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
你始终很美 + 1 我很赞同!
王紫 + 1 学习学习,勇气可嘉
山顶的一棵草 + 1 精前留名!
心里乐开花 + 1 我很赞同!
Abstinent + 1 我很赞同!
chenhuanlin + 1 热心回复!
守望者追求 + 1 已经处理,感谢您对吾爱破解论坛的支持!
节节命 + 1 我很赞同!
钱后佛 + 1 送花送花,大神你好
Survivor + 1 热心回复!
2658026667 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
永远快乐 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

GGover 发表于 2015-12-2 10:15
我们这边一般称这个病毒叫做鬼影,早起我接触过一次在这个病毒刚刚爆发的时候,后来金山就出了专杀版本,这个病毒非常让人头疼大部分都是更改你的IE主页让后指向另外一个地址,达到他们的目的,我碰到的时候还没有任何杀软能解决,我当时重做系统以后发现还有。我用了最原始的办法就是setup盘重做了进行低格,最原始的笨方法,后来又有新的办法就是重建系统引导分区MBR,就可以了。这个病毒太可恨了。我也是个小白希望说的对你有用,他还会感染U盘尤其是引导U盘。
浮生半世 发表于 2015-11-17 21:09
北涯丶 发表于 2015-11-17 21:09
 楼主| t2st 发表于 2015-11-17 21:11
浮生半世 发表于 2015-11-17 21:09
碰见病毒我就无奈了

这个病毒我是在虚拟机里弄的,执行了重启就开不了机了。
 楼主| t2st 发表于 2015-11-17 21:12
北涯丶 发表于 2015-11-17 21:09
好深奥的,我看不懂

这个病毒分析下来人都要懵了。
Ally 发表于 2015-11-17 21:22
真的看不懂!
 楼主| t2st 发表于 2015-11-17 21:23

是不是我写的不好,不好意思吖。
暗丶夜 发表于 2015-11-17 21:31
原谅我只是个超级小白...
Analysis#K 发表于 2015-11-17 21:36
一直不会玩IDA,,,,,
 楼主| t2st 发表于 2015-11-17 21:38
Analysis#K 发表于 2015-11-17 21:36
一直不会玩IDA,,,,,

我也不太会,我就是利用这个病毒硬着头皮分析的。慢慢读代码,其实没那么难。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表