吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9145|回复: 9
收起左侧

[PC样本分析] Radamant勒索病毒分析

[复制链接]
加嘞个油 发表于 2019-9-9 02:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
编程菜鸡初学逆向,被学长推荐了这款病毒作为新手练习工具,经过摸索终于得到此病毒的大致行为流程,与大家分享如下,如有错误虚心向大家请教

一、简介
病毒名:Radamant勒索病毒
md5:9b7b16867eeab851d551bfa014166e1a
操作系统:win7
病毒现状:在win7虚拟机上不能直接触发成功,同时怀疑其服务器也已GG

二、病毒流程
1、将病毒扔入IDA pro,反汇编后来到WinMain()主函数界面。病毒首先调用check_my_path(),检查自身程序是否以指定名称在指定目录运行。
1.png

2、若不在,则调用copyMeToWin()将自身复制到C:\Users\(当前用户名)\AppData\Roaming目录下并重命名为DirectX.exe,将文件属性设置为隐藏后运行DirectX.exe。
2.png

DirectX.exe部分
3、DirectX.exe重新运行,检查路径阶段顺利通过,接下来通过注册表判断是否有其他DirectX.exe在运行,若无则运行UACME绕过用户修改注册表,标记自身为运行状态(这一段存疑,我没大看懂)
3.png

4.png

4、继续运行,病毒计算得出宿主机的HASH值MY_HASH,并通过宿主机的系统、计算机名等信息计算出其id(md5),同时解密密文domain得到目的服务器之一的域名localband.ws
5.png

5、解析服务器域名checkip.dyndns.org,向其发送get请求信息,服务器返回宿主机IP地址(此域名仍可正常访问,且功能未变),将其拆解得到IP后,存在sIP中。若未得到则重复请求,最多循环三次。
6.png

7.png

6、调用getDomainsFromReg()函数,判断注册表是否有指定注册表项,若无。则发送post请求给服务器(域名localband.ws,仍存在但不知是否易主),服务器返回信息,将最终操控病毒的服务器的域名等信息写入注册表项。(HKEY_CURRENT_USER\Software\Microsoft\id),并再次调用getDomainsFromReg()将其读出存储在domain_list[ ]中
8.png

9.png

7、 接下来进入病毒主线程:dowork():dowork()首先根据domain_list[ ]中存储的域名将宿主机的id与ip发往操纵者服务器,随后接收来自服务器的指令,并调用exec_command()执行指令。指令种类包括:病毒更新指令、发送宿主信息指令、加密电脑文件指令、解密电脑文件指令,各自对应不同操作(加密等详细过程未分析)
10.png

11.png

至此病毒主流程结束。现在看来病毒流程确实简单,也没脱壳之类的工作,学长诚不我欺,通过这次分析得到了不少经验,继续努力!PS:编辑时这上面图片好小看不清,但再熬下去室友要杀我了,下次再改吧。新手菜鸡,出现错误求轻喷。

9b7b16867eeab851d551bfa014166e1a.zip

22.44 KB, 下载次数: 42, 下载积分: 吾爱币 -1 CB

密码:52pojie

免费评分

参与人数 3吾爱币 +8 热心值 +3 收起 理由
fei8255 + 1 + 1 谢谢@Thanks!
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
gaosld + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

A-new 发表于 2019-9-9 18:18
本帖最后由 A-new 于 2019-9-9 18:29 编辑

拖ida里看一下,难道你的没有函数名
左神 发表于 2019-9-10 08:23
KevINBy 发表于 2019-9-10 08:46
红颜脸庞仍娇俏 发表于 2019-9-10 12:50
代码写法极其眼熟,加解密部分似乎使用了我一年前发的代码
 楼主| 加嘞个油 发表于 2019-9-10 12:59
KevINBy 发表于 2019-9-10 08:46
能找到密码算法吗

加密部分我没看,因为主要目的是分析它的网络行为,所以只仔细看了他的通信部分
叫不醒装睡的人 发表于 2019-9-10 21:31
感谢分享
hpmk1234 发表于 2019-9-22 23:04
感谢分享
bj6688 发表于 2019-10-13 11:31
靠什么传播呢.是永恒之蓝吗.
Donepojie 发表于 2019-10-16 16:33
是AES加密
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表