某病毒样本分析

少年持剑 · 发表于 2024-2-4 14:03

样本来源
样本来源于论坛里的一个帖子：https://www.52pojie.cn/thread-1887329-1-1.html

样本分析
打开网站会下载一个查询5147.bat，用文本工具打开发现是一个exe文件。

该exe执行逻辑比较简单，开始会下载一段shellcode 然后执行。

Shellcode中包含了一个dll文件，shellcode在完成一些初始化工作后会执行dll中的导出函数Hanshu。

该函数大体有以下几个行为：

1.下载一个txt文本
下载一个被加密的txt文件，解密后得到后续需要的文件下载地址。

2.下载其余模块并存储

根据不同系统版本下载不同的bin文件（该文件用于后续注入到explorer.exe）,存放到注册表HKCU\Console\qweasd123zxc ，
Local/Temp目录下config.ini 和
ProgramData/config目录下config.ini 。
其余文件对应关系如图

3.创建3个链接，并执行

在执行链接文件前会发送WM_CLOSE窗口消息，尝试关闭某些杀毒软件。

4.删除一些不需要文件，并将shellcode注入explorer.exe

Shellcode 为之前下载的bin文件，被存储在注册表qweasd123zxc中

到目前位置代码有两个走向一个是 ShellExecuteA 执行的链接文件，另一个是注入到explorer.exe 的shellcode。

ShellExecute 会运行quick 程序，quick 在接着运行thunder.exe 并将要执行的注册表语句作为命令行参数传递，thunder.exe 通过注册表将1.exe 作为启动项实现持久化存储。

1.exe 采用白+黑的形式，加载mhRCPlayer-dll.dll。
mhRCPlayer-dll.dll是一个注入器，会读取C:\\ProgramData\\config\\config.ini，将shellcode 在注入到explorer.exe中。
到此代码都走向explorer.exe 的shellcode。

Shellcode会先通过TEB获取一些函数地址

在根据网站获取ip 建立连接后发送”64”，在进入循环接受数据。

接受的数据会被存储在新分配的一段可执行内存空间中，解密后执行。

结束

JonsenBrown · 发表于 2024-4-18 12:12

本人不幸下载了这类病毒，开始杀毒软件拦截了就没在意，但是今天突然卡死于是想起杀毒，查到了一个后门程序，同时一直有个弹窗报runfile.exe错误，anonymous\mhRCPlayer-dll.dl未找到，于是找到该贴，进一步发现自己被监控了好几天，在某个文件夹中保存有许多微信截图（目前没有发现重要内容），根据该贴提示，已经删除了病毒文件，感谢题主，希望后续没事了

yinsel · 发表于 2024-2-4 18:25

请教一下大佬，为啥IDA这里能显示字符串，我的IDA没有阿，还有这个downloadFile符号，我是学了一点点，不太了解

jstar · 发表于 2024-2-4 14:30

厉害了，支持一下

yinsel · 发表于 2024-2-4 15:35

厉害了大佬，能学习一些新的分析技术！

hyggeXY · 发表于 2024-2-4 16:31

厉害厉害

少年持剑 · 发表于 2024-2-4 18:32

yinsel 发表于 2024-2-4 18:25
请教一下大佬，为啥IDA这里能显示字符串，我的IDA没有阿，还有这个downloadFile符号，我是学了一点点，不太 ...

这里你需要自己调整变量的类型，才能识别字符串，downloadFile是重命名的

nojon · 发表于 2024-2-4 18:42

厉害了大佬

天心阁主 · 发表于 2024-2-5 13:03

谢谢大佬分享

a66230 · 发表于 2024-2-5 15:48

干货，感觉学习一下

sheron888 · 发表于 2024-2-5 16:18

学习了，谢谢大佬

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 某病毒样本分析

免费评分

个人中心