吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 46406|回复: 106
收起左侧

[PC样本分析] 一个通过U盘传播的病毒详细分析,近期抓的但是是09年的病毒

  [复制链接]
清香白莲 发表于 2017-7-15 17:54
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 清香白莲 于 2017-8-30 10:30 编辑

1.介绍
sample_sha10c9dec73697f74a8657e538eef8016a515e6cbc0图标:
图标.png
传播途径:U盘,硬盘
  该样本是某个群友在自己学校打印店里抓到的虫子。VT上显示最早上传时间是2009年。样本本身是Delphi程序,但是会释放一个VB程序。程序应该是中国人编写的,程序中含有“中华人民共和国万岁”和“感动中国特别奉献”等字样。
  该样本会将自己伪装成文件夹,将除C盘以外的所有磁盘的文件夹隐藏,并将自身拷贝过去,并重命名为原文件夹名的名称,同时程序运行过程中会尝试打开与自身同名的文件夹,用户很难发现自己中毒。破坏力最大的是,当样本检测到当前日期为每月的1号、10号、21号或29号时,会将磁盘(C盘除外)里的所有文件删除。
2.行为分析
2.1注册表行为:
1. 新添加键
                [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dongtian]
                [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dongtian]
2. 删除值  
                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt] "CheckedValue"=dword:00000001   
3. 新添加值
                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "msfsa"="C:\\windows\\avb.exe"
                [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dongtian] "Type"=dword:00000110 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=C:/Windows/System32/javasc.exe"DisplayName"="mywinter" "ObjectName"="LocalSystem" "Description"="dfdf"
                [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dongtian\Security]
                [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dongtian]
                [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dongtian\Security]
4. 改变值  
                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 "CheckedValue"=dword:00000000      
                [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 ->00000002 "HideFileExt"=dword:00000000 ->00000001
2.2创建服务
  服务名称:dongtian
  显示名称:mywinter
  描述:dfdf
  可执行文件的路径: C:\windows\system32\javasc.exe
    启动类型:自动
2.3释放文件
GHO.exe , javasc.exe, mscb.exe, sdafdf.exe, nasm.exe, mydat1, mydat2
3.详细分析
3.1总体分析:
  这是一个Delphi程序,使用Delphi Decompiler分析。有五个响应过程:
图片2.png
IDA中分析,主程序流程很简单,CreateForm创建Form,然后Run进入消息响应循环:
图片3.png
接下来对各个响应过程进行详细分析。
3.2 FormCreat
CreateForm时进入FormCreat过程,下图是FormCreat的流程图:
图片4.png

具体步骤:
① 程序在开始调用ParamStr0,获取自身进程名,比较进程名是不是javasc.exe,如果是则②,否则走③;
图片5.png
图片6.png
② 将自身拷贝到C\Windows下,并命名为sdafdf.exe,同时运行sdafdf.exe,之后便调用halt0()退出;
图片7.png
③ 首先会判断与程序自己同名的文件夹是否存在,
图片8.png
如果存在则会调用ShellExecuteA打开文件夹,
图片9.png
无论与自己同名的文件夹是否存在,接下来都会判断C\windows\avb.exe是否存在,如果存在,则④,否则⑧;
图片10.png
④ 修改注册表(sub_44F3A0),然后进入⑤;
图片11.png
⑤ 并且创建拷贝自身C\windows\system32\javasc.exe,并在sub_44E5CC中将javasc.exe注册为服务,进入⑥;
图片12.png
图片13.png
⑥ 修改注册表不显示隐藏文件,并且修改文件夹选项也没用,删除文件夹选项中的隐藏已知文件类型的扩展名选项,删除这个键;
图片14.png
     (左图为正常情况下文件夹选项,右图为感染蠕虫后文件夹选项)
图片15.png     图片16.png
⑦ 接下来再次修改注册表,将avb.exe加入注册表Runonce中,之后退出;
⑧ 首先创建拷贝自身C\windows\avb.exe,这里和上面拷贝方法相同,进入⑨;
⑨ 创建拷贝自身C\windows\system32\javasc.exe,并在sub_44E5CC中将javasc.exe注册为服务,接下来再次修改注册表,将avb.exe加入注册表Runonce中,进入⑩;
⑩ 比较进程名是不是C\windows\avb.exe,如果是则⑪否则⑫
⑪ 创建拷贝自身C\windows\mscb.exe,并执行,之后调用halt0()退出;
⑫ 比较是不是C\windows\mscb.exe,如果不是,则程序调用halt0()退出,如果是则CreateForm过程正常退出,程序继续运行,进行下面timer的响应过程。
3.3 timer4
首先关闭计时器,然后读取资源,释放C:\windows\nasm.exe,并且运行nasmnasm.exe的分析下文再介绍
图片17.png
3.4 timer2
首先获取当前系统时间
图片18.png
然后在0x0044F2DE处,获取磁盘信息,具体获取过程:设置寄存器bl的值由0x43增加到0x5B,进行24循环,遍历C盘到Z盘,利用DiskSize判断磁盘是否存在,利用DriverType获取磁盘类型:
图片19.png
获取磁盘信息结束后,会对之前获取的系统时间重新编码为年月日的形式,之后开始比较,如果当期时间为20093月之前,则Timer2过程就结束,并且判断当期日期是不是1号,10号,21号或29号病毒,如果是这几个日期会进行删除操作: 图片20.png
删除所有文件
图片21.png    
3.5 Timer1:
这是该样本最重要的感染部分,首先会遍历目录,获取目录下的所有文件夹名,下图保存的是获取的文件夹信息,从123到新建文件夹均是文件夹名:
图片22.png
之后设置文件夹属性,将文件夹隐藏:
图片23.png
然后创建以文件夹名为名称的可执行程序,伪装成文件夹:
图片24.png
其中CopyFile的第三个参数为True表示若拷贝过去的文件路径下已存在相同文件,那么不替换文件。
3.6 timer3
修改注册表
图片25.png
3.7 nasm.exe
timer4过程中释放了nasm.exenasm.exemscb.exe之间实现了双进程守护,两个进程彼此创建。首先在PEID中查看nasm.exe发现是VB程序,祭出VB反编译神器VB Decompiler
图片26.png
nasm.exe程序较简单,VB Decompiler反编译的结果也很清晰,基本就是源码,VB De反编译出nasm.exe程序中的函数有以下几个:
图片27.png
其中Proc_403E60的作用是返回字符串“C:\Windows,Proc_403FC0Proc_403E60调用的一个中间过程,对字符串进行处理。
Proc_402A20利用CreateToolhelp32SnapshotProcess32FirstProcess32Next这三个API遍历进程,获取进程列表:
图片28.png
Form_Load_403260的作用是调用Proc_403510,Proc_403510会将masb.exe文件的前0x5000字节存储为“C:\Windows\mydat1,将后面的字节存储为“C:\Windows\mydat2”:
图片29.png
三个文件属性比较:
图片30.png
processhelp_Timer_4038D0会循环进程列表中有没有mscb.exe进程和heihu.exe进程。笔者研究了很久,也没找到heihu.exe程序是哪一个程序,但是如果程序检测到heihu.exe进程的存在,nasm.exe就会执行关机的shell命令:"shutdown -f -s -t 10 -c  heihu error!"
图片31.png
如果mscb.exe进程不存在,processhelp_Timer_4038D0会运行mscb.exe程序,但是如果processhelp_Timer_4038D0检测到C\Windows路径下没有mscb.exe文件,则会执行existh_Timer_4038D0;existh_Timer_4038D0利用了和Proc_403510相同的手法,不过这一次是将mydat1mydat2文件合并存储为mscb.exe程序。
至此,nasmmscb.exe成为了守护彼此的“情侣”进程!
4.总结
本次分析的病毒,利用了各种途径让自己存活下来,虽然分析过程比较长,但是程序流程还是很清晰。该病毒将自己伪装成文件夹,通过U盘传播,利用守护进程保证自己难以被杀死,将自己注册为服务,实现了内存常驻。
解压密码http://www.52pojie.cn

样本.rar

178.14 KB, 下载次数: 420, 下载积分: 吾爱币 -1 CB

病毒样本,请在虚拟机中运行

免费评分

参与人数 23威望 +2 吾爱币 +30 热心值 +22 收起 理由
言己忄意 + 1 + 1 谢谢@Thanks!
monner + 1 我很赞同!
suyam + 1 谢谢@Thanks!
dd1993221 + 1 我很赞同!
r12225 + 1 + 1 谢谢@Thanks!
狐丶神 + 1 + 1 谢谢@Thanks!
dr_dargon + 1 + 1 谢谢@Thanks!
Dr.Web + 1 + 1 -
四夕人云 + 1 + 1 谢谢@Thanks!
Hmily + 2 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
taczer + 1 + 1 用心讨论,共获提升!
jeehom + 1 + 1 谢谢@Thanks!
恋落叶的秘密 + 1 + 1 我很赞同!
oxxo119 + 1 + 1 我很赞同!
等待记忆中 + 1 + 1 谢谢@Thanks!
失却之城 + 1 + 1 热心回复!
巭孬嫑勥烎 + 1 + 1 谢谢@Thanks!
莫奇 + 1 + 1 中华人民共和国万岁
nzluojia + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
52破解☆ + 1 + 1 我很赞同!
固执与偏见 + 1 我很赞同!
s3233431 + 2 + 1 用心讨论,共获提升!
夏雨微凉 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!厉害!!!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

kevinpublic 发表于 2019-3-16 19:14
masole 发表于 2018-8-16 10:15
那么分析出病毒有什么应对办法吗?现在公司内网就被这种病毒干扰,虽然360,火绒都能杀出来,但是全盘扫描 ...

win10自带defender,各类杀毒软件,火绒安全都可以查杀,公司电脑杀完毒之后一定要把U盘也杀杀,而且要保证病毒样本库实时联网更新
爱挠头 发表于 2017-7-15 18:06
zeng110114 发表于 2017-7-15 18:07 来自手机
wjbgg 发表于 2017-7-15 18:30
感谢分享!
wzzjnb2006 发表于 2017-7-15 19:10
楼主牛人,学习一下,我也想写个无恶意的病毒试试。
头像被屏蔽
zenaiwen 发表于 2017-7-15 19:20
提示: 作者被禁止或删除 内容自动屏蔽
hxy0922 发表于 2017-7-15 19:29
正想学习一下这方面的知识 感谢
苏筱瑾 发表于 2017-7-15 20:08
病毒仅供学习分析。
siyua 发表于 2017-7-15 20:19
不弄了,没有虚拟机了
头像被屏蔽
愤怒的小强 发表于 2017-7-15 20:32
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表