某木马分析

safsaf

回顾一下：
首先该病毒执行shellcode1解密shellcode2，shellcode2创建两个进程，来执行恶意代码。
MD5值为：D03D13C97C10669C812514F3BEB12EE9
恶意进程1：
它开始的也是解密真正的恶意代码去执行。
解密后的代码。

对解密的代码，修复偏移。

使用OD将恶意代码dump出来，使用IDA查看。

绑定socket，连接准备发送信息


通过接收的信息，来实现不同的功能
下载文件

下面通过接收不同指令，创建大量线程进行通信

创建大量线程

连接ip，发送消息

发送http包

上面就是该通信进程的行为。
恶意进程2：
也是动态的加载函数，下面是进程的流程。

复制病毒本身到C:\Users\15PB\AppData\Roaming\Identities\ylfyejlrex.exe
并创建了bat文件来删除原始病毒文件。

之后就是病毒找到explorer.exe,在该进程创建远程线程。
病毒为什么要找到该进程explorer.exe，而不是其他的进程，是因为如果你要调试explorer.exe进程，你的桌面切换什么都不好使了。
它用于管理Windows图形壳，包括桌面和文件管理，删除该程序会导致Windows图形界面无法使用。（百度的）
通过hash找到explorer.exe进程

写入恶意代码

创建远程线程


上面就是该进程的行为，之后就是分析Explorer.exe进程。
Explorer.exe
首先该恶意代码，拷贝出来很简单，但是使用IDA分析的时候，函数名的修复产生了很大的问题。
找了许多IDA脚本，终于找到了，修复函数名。就通过下面的方法。
在OD中将修复后的函数地址拷贝出来，通过excel拼接成下面格式，就可以看见函数名了，简直太方便了。
MakeNameEx(0x02242C78,"ntdll.LdrLoadDll",SN_PUBLIC);
MakeNameEx(0x02242C7C,"ntdll.LdrGetDllHandle",SN_PUBLIC);
首先该恶意代码上来就先检查了，当前进程名称是不是explorer.exe并且加载函数。（我之前让他注入到别的进程了，结果大意了，没有想到它进来又检查了进程名）。
是不是很眼熟，和上面的函数流程一样，判断进程名。
之后跑着跑着又检查了一次进程名。


将备份的病毒实现开机自启动，开机自启动。

之后通过sid进程判断，

在其他进程创建远程线程，恶意代码和explorer中的代码几乎一样。

我将其复制了出来，使用010editor查看了，一些发现大多数一样，不同指出是因为每次加载的基地址不同。

最后想问一下，有没有大佬指点一下那里需要改进，那里应该继续详细分析。
再就有没有公司招病毒分析可以联系一下吗

safsaf

shutegame 发表于 2022-12-1 23:28
平时电脑有一下后台请求，不知道怎么判断是不是后台木马？

我也是才入这行，我感觉你可以查看下通信的ip，去微步在线搜索下，看是不是恶意ip地址呗，再就安装杀毒软件呗，正常用户不乱下东西基本应该可以满足需求。平时下载的文件不知道是不是恶意文件，可以放云沙箱里面看一下。

safsaf

myconan 发表于 2022-12-1 22:04
OD那个注释显示中文的用啥插件？

我也不清楚，注释是我自己写的，

daokedao

感谢分享

myconan

OD那个注释显示中文的用啥插件？

as110265

学习一下

gdhgn

平时电脑有一下后台请求，不知道怎么判断是不是后台木马？

shutegame

平时电脑有一下后台请求，不知道怎么判断是不是后台木马？

snake88

如读天书

DP811

感谢分享，来学习一下