好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 xieyi1393 于 2020-5-14 12:24 编辑
本文为作者原创,未经允许禁止 事情来龙去脉:
最近学校里上信息技术课,眼尖的我发现,咦?任务管理器,CMD打不开?这其中必有诈(而且一定是王炸 ),经过询问,老师并没有进行相关的设置,此时,D盘的某个文件引起了我的注意.文件名EveRar.exe,如此熟悉的前缀,怎么不能引起怀疑呢?再一看文件信息,产品名称winlog,原始文件名EXPL0RER.EXE(中间是数字"0"而不是"O"),文件版本192.168.0.001,我就知道这次学校电脑遇到麻烦了.没错,就是那不要*的货,叫EVE(或者叫WinLOG)的蠕虫病毒
之前遇到这个病毒,应该是2年前读初中的时候,班上电脑莫名出现任务管理器/CMD/Powershell闪退,文件管理器打开之后突然又闪退接着才打开,对异常情况及其敏感的我马上觉得不对劲?卧*这十有八九有病毒,果然,安装完火绒一扫果真扫出来,就是今天咱们要宰杀的这只"鸡"----WinLog蠕虫病毒.只可惜当时没给他备份一下,要不然我想看看是不是出自一个人之手(比如同一个CC服务器或者同一种代码风格什么的)
好了BB了这么多,开始正式分析,不对,还差几句:
请注意:本次分析使用虚拟环境分析,普通用户切勿作死用自己电脑跑病毒给黑客送ROU鸡(要作我也拦不住)
同时,请各位同行注意:此病毒有一定的感染性!会感染非系统盘EXE文件!切勿真机运行!
OwO,那咱们开始吧
分析使用环境:
Windows Server 2012 R2(由于XX云不支持Windows7)
上传文件到服务器,使用ExeInfoPE拔毛(查壳)
咱们先给这只鸡拔毛,确认是这只鸡属于未加壳VisualBasic程序的品种,于是咱们用VBD杀鸡(反编译)工具,得到源码
既然得到了源码文件,那咱们就开始分析啦
既然是鸡,必定也怕黄鼠狼.这只鸡(此病毒)会判断旁边是不是有黄鼠狼(此时是否开启下列窗口/进程)
窗口名/类名包含:
Wind (Windows工具) 注册表编(注册表编辑器,或包含regedi) 004035DCh(根据上下文判断应该是命令行程序,consol) 360杀毒(q360sa) twomcc(wopt,不知道啥东西)
以及访问标题带有"查杀" "卡巴" "瑞星" "病毒" "360" "注册表" "隐藏" "金山" "修复" "专杀" "worm"的网页
发现会自动杀掉黄鼠狼关闭
相关代码:
然后接着往下看,Proc_0_9_406A40为鸡跑别人家鸡舍感染U盘程序
鸡(病毒)先会给鸡舍搞一道机关写入autorun.inf,内容:
由此看出,病毒制作者还是猜透了人们的心(部分有防备心理的人会右键->资源管理器 来打开U盘)
而且和之前几位病毒制作者相比(直接一个隐藏文件夹还改成病毒名字),这位老哥实在是很"良心"了,把存放病毒的文件夹直接改成了回收站标志,怕别人不认不出(绕晕的小伙伴,干脆给个提示:三重否定=否定,也就是认出)病毒文件夹
(例子详见:https://wenku.baidu.com/view/7e0adcc28bd63186bcebbcd2.html)
然后病毒会将本体复制到U盘/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
同时,在main.frm 第227-262行中发现,此蠕虫病毒还会处理以下文件的打开:
.ini .inf .chm .vbs .reg
万能鸡?
同时,对于reg文件,病毒伪装成功(实际上直接没导入)来阻止通过注册表修复计算机,这种"良心"方式好像很少见?
搜索http,查找这只鸡的主人(C&C主机)的地址
果不其然,找到两个(目前应该已被墙)
位于00405DBC和0040605C
主控C&C机位于mlmy.3322.org,目前访问提示连接被重置,但是我的香港机访问也显示 Connection reset by peer 怀疑是已挂 鸡主人去世,悼念
两个文件:
http://mlmy.3322.org/update.txt(疑似蠕虫配置,由于无法访问,暂时不能确定)
http://mlmy.3322.org/qq.asp?ip=(疑似上报感染)
经分析,此蠕虫病毒向远端C&C主机上报计算机名
现在传播方式摸得差不多清楚了(除了一个通过Exe文件传播不太清楚,是在Getexe.bas中),那咱们来让有请臭名昭著的Payload部分隆重登场
函数位置:main.frm / Proc_0_7_405D50
程序先通过Proc_1_6_40B8D0方法访问http://mlmy.3322.org/update.txt获取罪恶之源(脚本),之后访问http://mlmy.3322.org/qq.asp?ip=向远端C&C服务器报告计算机名和所处的目录
然后使用ShellExecute执行这段罪恶的脚本
卧槽,这Payload这么简陋的么?还不够我撑起厚度的?
然后分析的差不多了,最后贡上反编译之后的源码和病毒原文件(原文件为了避免被杀和手贱乱点加了个disabled后缀,改回EXE即可,但是不改不影响逆向分析):
WinLog样本.rar
(15.06 KB, 下载次数: 50)
由于太小,直接传论坛,密码52pojie
不想走论坛的走蓝奏:https://redstonefun.lanzouj.com/iclrm2j
由于时间关系&学业关系,只能分析这么多了,本人高中生能力有限,望各位大佬接着我的继续研究(包括如何感染的EXE文件)
作者附言
这个蠕虫病毒已经历史比较悠久了 (老母JI????) 我读初中的时候就在班级电脑发现了病毒,同时根据C&C服务器判断制作者应该是国人
下节预告
学校官网惊现挖矿病毒?这一切是**的**还是**的**?本人即将播出(如果发现了的话)
好了不卖关子,的确是老师在学校防火墙里面看到网站服务器有解析挖矿服务器,
so,等抓住了另一只鸡咱们给大家论坛解剖?
IOCs:
URL.1=http://mlmy.3322.org/update.txt
URL.2=http://mlmy.3322.org/qq.asp?ip=
MD5(WinLog.EXE)=f165b48f34d17777e433354c259f478b
Location.1=C:/windows/System32/winlog.EXE
Location.2=*(可移动介质):/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}/winlog.EXE
中毒症状:
1.任务管理器,CMD等闪退
2.使用"此电脑"打开驱动器会闪退一次然后打开新窗口
3.出现WinLog.EXE进程
4.插入U盘后其中的程序会被感染(版本号变为192.168.0.1,原始文件名变为EXPLORER.EXE,程序名称变为winlog) |
免费评分
-
查看全部评分
|
发表于 2020-5-14 12:00
发表于 2020-5-14 15:29
|
发表于 2020-5-14 18:19
