吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 30560|回复: 55
收起左侧

[PC样本分析] xeirib.exe样本分析

  [复制链接]
末日不孤单 发表于 2016-12-1 15:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 末日不孤单 于 2016-12-1 17:09 编辑

1. 概述
无意间发现电脑中存放的一个样本,不知是从哪里搞过来的,趁着这段时间有时间就学习分析一下,提升病毒分析能力,同时也借由这个样本,与论坛各位大神学习交流;
由于分析完后才发现这是一个PE_SALITY病毒,网上也有相关报告,想了想要不要写一篇帖子发出来,最后也还是决定写一篇帖子发出来,毕竟是自己独立完成的样本分析,也是在论坛的第一篇帖子,如有不足之处,还望大家指出。
1.1. 相关文档
【病毒科普】Sality病毒独家解密:
http://bbs.duba.net/thread-22945031-1-1.html
Windows共享内存示例:
http://www.cnblogs.com/dongsheng/p/4460944.html
1.2. 基本信息
文件名称:xeirib.exe
文件大小:103140 字节
MD5     :A29F74A8B25B04750EBC00662C386819
SHA1    :1EFED493F2BA718255067C7A9CE5C487484F870F
CRC32   :EC86CFBA
1.3. 病毒查杀
大部分杀毒软件都可以查杀,毕竟是很久以前的病毒了。
2. xeririb.exe分析
查壳显示为“Safeguard 1.03 -> Simonzh [Overlay] *”,鉴于对脱壳不是很了解,就直接OD看看吧;发现样本xeririb.exe(基地址:0x400000)将对0x402316处数据进行解密,解密完成后,直接运行0x402316处代码;
静态提取代码对比如下:
图片1.png
图片2.png
3. xeirib.exe_1分析
3.1. 获取LoadLibraryEx调用地址样本将读取系统“kernel32.dll”的PE结构,获取LoadLibraryExA、GetProcAddress函数地址;
相关代码:
图片3.png
图片4.png
3.2. 动态获取API
样本将循环获取API调用地址;
相关函数代码:
图片5.png
API列表:
图片6.png
3.3. 命名的内存映射文件对象
样本将调用CreateFileMappingA函数创建命名的内存映射文件对象:
purity_control_90833
hh8geqpHJTkdns0
调用MapViewOfFile得到共享内存的指针,并将相关数据写入;
3.4. 线程
创建线程,线程函数地址为“0x4029e8”,创建成功后,样本将Sleep,运行线程函数;
3.4.1. 互斥对象
调用CreateMutex创建互斥对象“uxJLpe1m”,用于确定当前系统是否已经存在指定进程的实例。
3.4.2. 释放PE
调用VirtualAlloc申请内存,并将样本中隐藏的PE文件复制至内存地址(0xA00000)中;
3.4.3. 动态获取API
样本将循环获取API调用地址
相关代码如下:
图片7.png
3.4.4. 修改内存属性
新复制的PE文件内存在0xA00000,样本将相关内存属性修改为可执行模式;
图片8.png
3.4.5. 运行主体代码
样本将跳转至0xA0ED35处,此地址即为样本主体代码处;
4. 00A00000.mem分析
由于直接dump出来的文件使用IDA反编译不能显示API,因此通过添加结构体的方式来查看相应的API,具体情况可查看idb文件中的结构体。
4.1. 主线程
主线程中将创建多个线程进行不同的操作;
4.1.1. 注册表相关操作
  • 隐藏文件或文件夹
HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden        2
不显示隐藏的文件和文件夹
  • 取消安全中心警告和Update(XP、Win7)
HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiVirusDisableNotify        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\FirewallDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\UpdatesDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiSpywareOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiVirusOverride        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\FirewallOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\UacDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiVirusDisableNotify        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\FirewallDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\UpdatesDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiSpywareOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiVirusOverride        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\FirewallOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\UacDisableNotify                1
  • 解除IE脱机状态
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\GlobalUserOffline        0
  • 禁用UAC
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\system\\EnableLUA                0
  • 在防火墙的例外中注册程序
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List        C:\Documents and Settings\Administrator\桌面\xeirib\xeirib.exe:*:Enabled:ipsec
  • 关闭防火墙
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\EnableFirewall                0
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\DoNotAllowExceptions                0
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\DisableNotifications                1
4.1.2. 外联端口
根据计算机名生成外联端口
图片9.png
4.1.3. 内存共享
样本将调用CreateFileMappingA函数打开内存映射文件对象“purity_control_90833”(3.3中已写入数据)。
4.1.4. 修改系统内容
样本会在系统system.ini文件中添加以下配置信息:
[MCIDRV_VER]
DEVICEMB={随机数
图片10.png
4.2. 线程一
主要功能是:遍历进程,并对相关进程进行操作;
4.2.1. 互斥对象
若进程是以“system”、“local service”、“network service”用户权限运行,样本将创建相关互斥对象;
“smss.exe”是进程名,“536”是进程PID值;
图片11.png
4.2.2. 进程注入
若进程不是以“system”、“local service”、“network service”用户权限运行,例如,“administrator”用户权限运行,样本将对此进程进行远程进程注入;
图片12.png
4.3. 线程二
4.3.1. 删除注册表中“安全模式”相关项
删除注册表所有项“System\\CurrentControlSet\\Control\\SafeBoot”,致使无法进入安全模式;
图片13.png
4.3.2. 将系统驱动以服务的形式启动
图片14.png
4.3.3. 释放驱动文件并启动
释放sys文件(随机文件名.sys),并以创建服务的形式启动,最后删除文件;
图片15.png
4.3.4. 创建文件
从TEMP目录中复制外联下载的DLL文件,解密DLL,并将解密内容写入\\\\.\\amsint32文件中;
图片16.png
4.3.5. 创建线程2.1_停止服务
样本将创建线程用于停止服务;
图片17.png
4.3.6. 创建线程2.2_查找反病毒软件
样本将创建线程用于查找反病毒软件,若发现反病毒软件,或软件中带有“DWEBLLIO”或“DWEBIO”模块,则样本将把相关软件PID写入\\\\.\\amsint32文件中;
图片18.png
反病毒软件共有1136个(具体列表可查看反病毒软件.txt),部分列表截图如下:
图片19.png
4.4. 线程三
4.4.1. 创建线程3.1_遍历注册表项并操作
样本将创建线程,遍历注册表项,获取相关文件名,并进行一系列操作:
  • 反病毒软件名对比
  • 文件感染(不确定)
HKCU\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache
HKCU\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache
图片20.png
4.4.2. 创建线程3.2_释放病毒母体文件
样本将创建恶意“C:\autorun.inf”文件至所有驱动器,并在TEMP目录中创建病毒母体文件“afyw.pif”,当用户进入被感染驱动器后,就会自动执行病毒。
“C:\autorun.inf”文件内容如下:
[AutoRun]
;nobjspifnyWsyjbfQXCbc BisVi knYnQ
;
opeN= afyw.pif
;tjPBnBlaCxaJvj
sHEll\opEn\comManD =afyw.pif
;
shelL\oPen\defauLT=1
;DCIMly HCqIFfKSSFKEqang QKQempFoVGurBnOwEeFnuqcm
SheLl\expLoRE\cOmmanD= afyw.pif
;GfCw  BYhyrStGTk GBDWMfRqKbhoscmY
ShEll\AUTopLAY\commanD =afyw.pif
“afyw.pif”文件是其释放的文件,格式为快捷方式,具体文件内容请查看afyw文件;
图片21.png
4.4.3. 创建线程3.3_文件感染
遍历文件,查找并感染系统中的EXE、SCR文件;
图片22.png
4.5. 线程四_外联下载
外联下载EXE,解密保存至TEMP目录,最后以创建进程的方式运行;
外联地址如下:
hxxp://www.ledyazilim.com/logo.gif
hxxp://ksandrafashion.com/logo.gif
hxxp://www.lafyeri.com/images/logo.gif
hxxp://kulppasur.com/logo.gif
hxxp://toalladepapel.com.ar/images/logo.gif
hxxp://www.ecole-saint-simon.net/index_top/logo.gif
hxxp://lazarea.ro/images/logo.gif
hxxp://koonadance2.com/images/logo.gif
hxxp://kuplu.bel.tr/images/logo.gif
hxxp://www.liderancaspoliticas.com.br/logo.gif
hxxp://www.legalbilgisayar.com/img/logo.gif
hxxp://lifecom24.co.cc/images/logo.gif
图片23.png
图片24.png
4.6. 线程五_TEMP目录操作
每256毫秒遍历一次TEMP目录,删除TEMP目录的中的EXE、Rar文件;
图片25.png
4.7. 线程六
关键段操作
图片26.png
4.8. 线程七、八、九
相关外联通信,通信均加密


报告.7z

911.12 KB, 下载次数: 117, 下载积分: 吾爱币 -1 CB

解压密码:www.52pojie.cn

新建文件夹(www.52pojie.cn).7z

643.8 KB, 下载次数: 142, 下载积分: 吾爱币 -1 CB

解压密码:www.52pojie.cn

免费评分

参与人数 13吾爱币 +2 热心值 +13 收起 理由
aptsuny + 1 + 1 涨姿势的机会来了,感谢楼主带我飞,我是奔着你的IAT表来滴
JoKKkkker_lmxx + 1 + 1 谢谢@Thanks!
初亦泽 + 1 用心讨论,共获提升!
greedysoul + 1 谢谢@Thanks!
kylinpapa + 1 我很赞同!
siuhoapdou + 1 谢谢@Thanks!
珍惜幸福涙 + 1 看不懂只能膜
蓝桀 + 1 热心回复!
KaQqi + 1 好!收藏!
Eternity丶 + 1 看不懂但不妨碍我敬佩。
LHQ + 1 虽然我看不懂,但是鼓励一下,像楼主学习
Hyabcd + 1 用心讨论,共获提升!
aimenl + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 末日不孤单 发表于 2016-12-2 11:53
珍惜幸福涙 发表于 2016-12-2 11:15
请问楼主是怎么添加结构体去识别0xa00000中的函数的呢?如果一个个添加太麻烦了吧,求教使用了什么黑科技

IDA可以解析C结构体声明和C头文件的,你可以搜索看一下相关操作;我当时是一个一个添加的,当时没看到那个API列表。。。
 楼主| 末日不孤单 发表于 2016-12-2 17:17
珍惜幸福涙 发表于 2016-12-2 15:32
哈,但是这个病毒不可能给你头文件的呀,api函数列表也没有规律,估计也只能一个个添加了吧,感谢你的分 ...

API函数列表是有规律的,在文章的3.4.3节循环获取调用地址的,API列表在附件里面有:API_1.txt、API_2.txt、API_3.txt
 楼主| 末日不孤单 发表于 2016-12-1 15:20
从word中直接复制过来的,格式有点问题,好多[size=10.5000pt]

点评

我给你编辑了下。  详情 回复 发表于 2016-12-1 16:35
吾爱丨破解 发表于 2016-12-1 15:38
感谢分享,看不懂也要看看
Hmily 发表于 2016-12-1 16:35
末日不孤单 发表于 2016-12-1 15:20
从word中直接复制过来的,格式有点问题,好多

我给你编辑了下。
Hmily 发表于 2016-12-1 17:10
分析很详细,加精鼓励。
 楼主| 末日不孤单 发表于 2016-12-1 17:10
Hmily 发表于 2016-12-1 16:35
我给你编辑了下。

谢谢,我又编辑了下,这下格式对了
 楼主| 末日不孤单 发表于 2016-12-1 17:17
Hmily 发表于 2016-12-1 17:10
分析很详细,加精鼓励。

谢谢谢谢
mj7089471 发表于 2016-12-1 17:23 来自手机
看完就俩字!!懵逼
LINLONGJIAN 发表于 2016-12-1 17:29 来自手机
哎,小白一脸懵逼啊
nowassassin 发表于 2016-12-1 18:03 来自手机
厉害了我里哥
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表