[原创]一款下载、窃密者病毒样本分析

一个悲桑的问题

开始前先来皮几句吧。
/////////////////////////////////////不喜欢的同学略过这一段////////////////////////////////////
注册论坛好久了，一直在划水，没有发过几篇正紧的文章，距离上一篇勒索病毒的分析已经过去快一年多了，深感愧疚。一直在上班工作，回来就想休息了，躺下耍一会手机说分析一下样本发上来，结果一直是一躺下就到第二天了。。。。。
鄙人曾从事于安全公司，专制做病毒逆向分析，别问我驱动层的，菜逼一个，但多多少少有点逆向经验，所以发出来和大伙交流一下，希望各位大牛可以不吝赐教，助我一臂之力，更上一层楼！
/////////////////////////////////////////////////////////////////////////////////////////////////////////


好了，前戏完了，该出上正菜了我是直接在我的word中写好的，再复制粘贴过来的，一定会出现排版问题的，大伙将就一下哈！
**************************************************************************
分析才多就，排版两小时
好想吐槽啊
。。。。。。。。
今天的上传到限制了很多图片贴不上来
空白处都是图片
没法在线保存呢要不然保存好，下一次继续编辑（不要告诉我网站这个可以，保存好下一次又要我继续排版图片呢，我才不干呢）
我将我自己写的word上传上来，里边的完整呢

那个啥，担心的同学就别下了，免得中毒了怪我
自我说明，word无毒副作用

闲了弄




卧槽、找不到上传文件的地方。。。。。。。。。。
那真没招
**************************************************************************



1.拿到病毒时，先观察其行为进行分析，然后就是抓重点，得结果，写报告。

2.那让我们一起看一下今天的这个病毒吧。

3.工具采用的是吾爱破解专用工具包，里边工具很全，感谢吾爱破解的无私奉献！

4.将病毒拖入火荣剑中进行行为监测：



5.总结其流程，顺便画一个思维导图来理清思绪：（在论坛里边下载的思维导图工具，第一次用不太会。但是我已经猜到很多同学要网址呢，诺给你https://www.52pojie.cn/thread-712814-1-1.html，刚才发现这个链接挂了。。。。算了你们看看我用吧，过过眼瘾得了）



6.将病毒原样本拖入PE工具，如下图：



7.因为此病毒有壳，所以为大家演示一下简单的脱壳步骤。

///////////////////////////////////////////////////////////////

8.一个很简单的UPX壳，我们利用ESP定律脱掉它

9.如下图：



10.然后Go一下，在Go的附近找popad这就是和我们pushad所对应的然后找到附近的一个大跳转jmpxxxxxxx（此偏移一般都很大）跳过去一般就是我们的真正OEP

11.然后脱壳：





12.选择一个路径，随便起一个名字保存下刚dump下来的文件。

13.修复IAT表



14.保存好被修复IAT表的程序（123.exe）后，再次查壳看看还有没有壳。



15.OK脱壳演示完毕。

///////////////////////////////////////////////////////////////

16.提取刚才病毒原样本oia.exe与其释放的PE文件。

17.思维导图的好处就是可以让我们大伙看出这款病毒的主要逻辑、主体部分在哪，所以我们直奔主题：server.exe

server.exe
根据思维导图我们知道，该PE主要入侵了两个进程：浏览器与svchost.exe来执行恶意代码





但是在这儿我们发现要入侵的PE大小实在是大的有点过分，所以我们“Alt+m”不难发现，要写入的大小是PE文件的大小



所以呢，他就是将自己注入到了其他进程中执行了一些代码
我们只需要分析server.exe自身程序就行了

将server.exe程序拖入IDA中：
发现是一个干净的PE，自识别主入口
7.0的好处就是有很多的函数是可以被程序自身所发现的
步入代码瞅瞅：如下



该处代码有很多是我看过的，都是些基本操作没有什么重要的地方

继续往下走就能看到一些有意思的东西比如：反虚拟机、反杀软、反调试、注册表启动等



代码注入：



我们进入到反调试、反虚拟机中取看看：
总结如下（我就捡了两个贴张图）



那么我们先进CreateProcess_WriteProcessMemory函数瞅瞅：
就这两个挂起



再瞅瞅写入：WriteProcessMemory
IDA中是这样的：
WriteProcessMemory_C83CE4(dword_C8F8AC,RegRun_Exec_C88EF8,&unk_C8FCCC);
我们先进参数二RegRun_Exec_C88EF8函数中一探究竟（其传参根据反汇编可找到为本进程路径）









由此得出，病毒将自己写入到了IE浏览器进程以及svchost.exe中

接下来



此处将网络下载的文件注入（IP已死掉没法搞了下去）



结尾处就是下载执行



病毒的执行流程就是这样
因为其链接的网址已经挂掉了，所以就没法继续分析下去了


//////////////////////////////////////////////////////////////////////////


然后我们就研究一下该病毒生成的文件功能：
文件486aoia.exe拖入PE查看器CFF中发现也有壳UPX
同理可脱干掉他
然后我们跑一下该程序的行为，发现
它创建一个挂起的自身，并写入了执行代码，然后在册表创建了”HKEY_LOCAL_MACHINE\http://马赛克.com/Panel/five/fre.php”进行联网。
它在启动目录“开始-所有程序-启动”创建了开机启动项，在C:\Users\用户名\AppData\Roaming目录下创建隐藏文件夹5F1832以及其子项2728C2.exe（该两项都为随机名，主要是为了开机启动）
自删除

执行486aoia.exe



跨进程创建内存空间



跨进程写内存



设置线程上下文



恢复线程并结束自身



OK那么现在我们瞅瞅被注入的代码有哪些功能附加上被注入的线程

我们在刚才注入的时候，直接将内存中的PE文件拷贝出来，使用loadPE修复一下，丢到ida中查看一下，如下：



再查看一下字符串





再加上我在文件内的浏览，基本上已经可以判定这是一个窃密病毒了，窃取本地浏览器账号、ftp本地服务器账号密码，将窃取到的信息加密并上传到http://马赛克.com/Panel/five/fre.php连接key是16320C42每次发送的大小是216字节

问：为什么后边这一块窃取密码并发送的这一段不详细分析一下？答：后边这一块大家伙还是少知道的好，会逆向、找得到问题的关键点就行了，免得方便一些人学坏，直接拿过去用来做坏事

问：为什么要给网址来个汉语的马赛克？答：因为这个网址还活着，有专业人士去使用我们不会防御的家伙们看看就好了，剩下的就交给警察叔叔们了

好了，本期导视就到这里了，我以后会更勤快一点的

一个悲桑的问题

刚才有个好友在下边问了：内存拷贝文件是怎么拷贝的，我在这统一回复一下
首先，你要明白，文件对齐的原理，在磁盘中的文件与在内存中的文件的文件对齐是不一样的
叫做段对齐。当你用PE查看器观察的时候就能发现
在OD中，直接在内存中追踪要写入的内存地址，拷贝下来，二进制保存。
然后拖入PE查看器CFF中，拖入CFF中查看区段，然后修改段对齐大小（就是将内存对齐的起始地址，修改为文件对齐的地址），然后保存一下，就可以用IDA直接查看了是不是很简单，所以只要明白原理，就会好很多。

一个悲桑的问题

wisoft 发表于 2018-11-19 16:50
大神，很想学习下。但是图片看不怎样清楚。能分享word吗，放网盘什么的都行。

链接：https://pan.baidu.com/s/1MOYaeqs8JTMExpKO_PNtVw
提取码：wqb3

一个悲桑的问题

尾巴这么多图片 版主帮我改改啊  我打开编辑根本就看不到啊。。。。。。

Cmilyci

学习了学习了。涨知识啊！

sdqyh1985

好软件谢谢分享，谢谢

皓哥阿

楼主大神我等膜拜

涛之雨

嗯。。。不愧是专业人员。分析的很深入。
虽然似乎现在起用不到（汗）
不过可以依葫芦画瓢。逆向时用到

450046181

我是看不懂这个，呵呵，只能看懂点皮毛！路过，仰望楼主，膜拜楼主~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~！

smile1110

一个悲桑的问题 发表于 2018-11-18 23:41
尾巴这么多图片 版主帮我改改啊  我打开编辑根本就看不到啊。。。。。。

把全部上传图片都删了，然后把帖子中图片都删了，重新上传，上传一张放入帖子一张，一一对应就没有啦

shisongtao

感谢楼主