吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1493|回复: 44
上一主题 下一主题
收起左侧

[PC样本分析] U盘病毒分析

  [复制链接]
跳转到指定楼层
楼主
I1mport 发表于 2022-11-24 17:01 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 I1mport 于 2022-11-28 14:28 编辑

一、u 盘感染病毒的行为分析
1、程序获取注册表值(部分获取命令以及修改注册表流程如下)
获取 TSAppCompat 目的是识别在应用程序模式下运行服务的服务器。在开机自启动时获取服务器以及微软为防止 DLL 劫持漏洞的产生所设置的SafeDllSearchMode 的值。

transparentEnable,获取服务器组关于 NAT 功能的设置

DisableMetaFiles,用来禁用原文件处理(为 1 时有效)

AppInit_Dlls,任何使用 user32.dll 的文件都会读取这个地方

TSUserEnabled,是否允许远程使用

修改的注册表项设置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 的值可以实现指定 exe 文件自启动(=”GHD.EXE”)

2、文件操作
可以观察到系统截获 avb.exe,向其写入了数据并修改了数据,自此猜测avb.exe 才是实时感染的程序。
截获:

修改 avb 数据

同时也修改了 javasc

二、IDA分析
1、加壳检查
利用 PEID 进行壳检查
检测结果如下:

说明为 Delphi 语言编写,无壳。
使用 Delphi Decompiler 分析。有五个响应过程:

接下来开始分析这五个响应过程
2、IDA 分析 FormCreate
使用 IDA 打开,发现调用了 5 个函数

从 IDA 给出的函数名可知,第一个函数是初始化 exe 文件,第四个函数为系统运行 Run 函数进入消息响应循环,第四个函数是退出程序 Halt0 函数。第三个函数 CreateForm 创建 Form。
在 IDA 中使用快捷键 alt+t,查找字符串“avb.exe”
根据查找到的位置,定位到_TForm1_FormCreate 函数

此函数内部调用了ParamStr(0) 函数获取进程名称等信息,再调用ExtraFileName()函数提取出文件名称,与“javasc.exe”统一转成大写之后进行字符串比较。


如果进程名不是 javasc.exe,则转到

此模块会复制进程并重新命名为 sdafdf.exe 文件存储在 C:\\windows 下。结束后调用 shellexecute 函数运行此 sdafdf.exe,之后便调用 halt0()退出。
如果进程是 javasc.exe 那么,跳转模块如下:

此模块首先会获取文件所在路径,获取文件名称后,将当前路径与文件名称进程拼接得到完整的路径信息,比较当前目录与自己同名的文件夹是否存在,如果存在:


最终会调用 ShellExecute 对打开文件夹。无论与自己同名的文件夹是否存在,接下来都会判断 C:\windows\avb.exe是否存。如果存在,进入(1),不存在则进入(2)
(1)修改注册表(sub_44F3A0)。sub_44F3A0 函数如下:

注册表项如下:

sub_44F3A0 函数功能为:修改注册表不显示隐藏文件,并且修改文件夹选项也没用,删除文件夹选项中的隐藏已知文件类型的扩展名选项,删除这个键。之后创建拷贝 C:\windows\system32\javasc.exe,并在 sub_44E5CC 中将 javasc.exe注册为服务。然后又拷贝C:\windows\avb.exe
接下来再次修改注册表,将 avb.exe 加入注册表 Runonce 中,之后退出

(2)首先创建拷贝自身 C:\windows\avb.exe,这里和上面拷贝方法相同。

然后创建拷贝自身 C:\windows\system32\javasc.exe,并在 sub_44E5CC 中将javasc.exe 注册为服务,接下来再次修改注册表,将 avb.exe 加入注册表 Runonce中。

接下来又比较进程名是不是 C:\windows\avb.exe,如果是则创建拷贝自身 C:\windows\mscb.exe,并执行,之后调用 halt0()退出

如果不是 C:\windows\avb.exe,则程序调用 halt0()退出
三、IDA 分析 Timer
分析响应过程(IDA分析)IDA 中左边栏搜索关键字“timer”,获得四个响应过程

1. 响应_TForm1_Timer1Timer

进入函数sub_44EF94()分析函数功能


1.1 进入函数sub_44E9FC(&v12,a1)分析函数功能如下图的while循环中可知此函数的作用是遍历目录文件

1.2 进入函数sub_44EEBC(v11)分析函数功能


1.2.1 进入函数sub_44EAA4(v10,(int)&v11)分析函数功能如下图所示,函数sub_44EAA4(v10,(int)&v11)先通过FindFirst查找到第一个符合要求的文件,并记录其创建时间FatTime,然后根据创建时间找到所有此创建时间下的所有文件。

1.2.2 进入函数sub_44EC88((int)v12, v9)分析函数功能此函数通过循环修改所有通过函数sub_44EAA4(v10,(int)&v11)找到的文件的文件属性,将文件隐藏。通过CopyFileA函数拷贝病毒文件,CopyFileA函数的第二个参数v11为隐藏掉的文件名称,将其病毒文件名设置为v11即隐藏掉的文件名,最后将病毒文件伪装成文件夹。CopyFileA函数的第三个参数v12恒为-1True,表示若拷贝过去的文件路径下已存在相同文件,则不替换文件。
2. 响应_TForm1_Timer2Timerv15为获取的系统时间的day,判断若系统时间年份大于2009,且日期day1102129则触发感染事件,执行sub_447F078函数。

3. 响应_TForm1_Timer3Timer

进入函数sub_44F3A0(v2,v3,v4)分析函数功能如下图所示,发现其主要功能为修改注册表

4. 响应_TForm1_Timer3Timer如下图,步骤1中找到内存中exefile文件并free掉,然后通过ShellExecuteA调用 nasm.exe程序。

四、杀毒流程
从以上的分析可以知道,该病毒会将自己伪装成文件夹(病毒的图标是个文件夹,实际上是个可执行文件),将除 C 盘以外的所有磁盘的文件夹隐藏,并将自身拷贝过去,并重命名为原文件夹名的名称,同时程序运行过程中会尝试打开与自身同名的文件夹,用户很难发现自己中毒。破坏力最大的是,当样本检测到当前日期为每月的 1 号、10 号、21 号或 29 号时,会将磁盘(C 盘除外)里的所有文件删除。该病毒利用了各种途径让自己存活下来,伪装成文件夹通过 U 盘传播,利用守护进程保证自己难以被杀死,将自己注册为服务,实现了内存常驻。
对此,首先删除生成的对应文件。

这里是 GHO 生成了 javasc 和 avb。都需要删除。由于程序对部分文件做了隐藏我们还需要先行修改注册表的值。

删除自启动劫持注册表项。

RunOnce 在每次启动的时候都会运行,所以可以做到自启动。

删除这个注册表项。至此,杀毒完成。
--------------------------------------------------------- 样本下载分割线 -----------------------------------------------------------------------------------------------
【注意:】样本请慎重且正确使用(建议在病毒实验环境下进行分析),样本仅供学习使用,违法违规使用病毒样本与本人无关
病毒样本(解压密码_52pojie).zip (218.12 KB, 下载次数: 5)

免费评分

参与人数 14威望 +1 吾爱币 +31 热心值 +14 收起 理由
lxs384797 + 1 + 1 用心讨论,共获提升!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
FKRiX + 1 + 1 我很赞同!
skymailwu + 1 谢谢@Thanks!
18259118093 + 1 + 1 热心回复!
allspark + 1 + 1 用心讨论,共获提升!
HzHJ + 1 + 1 我很赞同!
duokebei + 1 用心讨论,共获提升!
BUSHIYANDOU + 1 + 1 用心讨论,共获提升!
jwzyjwzy + 1 + 1 热心回复!
dofu05jj7uu + 1 + 1 我很赞同!
cn211211 + 1 + 1 热心回复!
gdhgn + 1 + 1 谢谢@Thanks!
coder9527 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
yooyooyooyoo 发表于 2022-11-24 23:18
学习学习
推荐
 楼主| I1mport 发表于 2022-11-27 12:46 |楼主
yk2010 发表于 2022-11-24 21:32
不太懂,是增殖那种吗?

对的,
1.修改注册表,即自动启动病毒
2.伪装方式是将增殖的病毒伪装成文件夹,文件夹名称与之前目录中存在的文件夹名称一致,之前存在的文件夹被隐藏,当点击这个文件夹时,病毒被运行,同时病毒会去打开与自己同名的文件夹,这样用户不会发现异常
3.病毒复制,通过u盘传播
沙发
skywalker0123 发表于 2022-11-24 21:05
3#
yk2010 发表于 2022-11-24 21:32
不太懂,是增殖那种吗?
4#
fzx33 发表于 2022-11-24 21:51
感谢分享亚
5#
hangjiasoft 发表于 2022-11-24 22:14
学习了,感谢分享
6#
MagicalYu 发表于 2022-11-24 22:17
感谢分享
7#
quize01 发表于 2022-11-24 22:31
学习中。感谢。
8#
PlutoC 发表于 2022-11-24 22:34
太强了,学习学习
9#
gdhgn 发表于 2022-11-24 23:10
厉害了,大哥可以分析一波工具吗?萌新求利器
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2022-12-9 19:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表