读大佬文章后分析骷髅病毒

hbesljx

样本名	b.exe
SHA256	5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5
MD5	5b8bc92296c2fa60fecc6316ad73f1e2
SHA1	44b95162f85b81e71e5f2e7abbc904a6339ce0aa

读了几年前大佬的分析文章，下载下来详细分析了一下，大佬文章链接：
https://www.52pojie.cn/thread-1065060-1-12.html

对抗行为：

• UPX加壳
• loadLibraryA动态调用
• 病毒本身只执行创建服务和启动服务的操作
• 执行完后删除自身代码
• 服务的相关代码无限循环保证一直执行
• 创建互斥体避免重复运行

行为特征

1.WSAStartup初始化套接字
2.查询注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\15654656，若存在则启动服务，若不存在则执行自身逻辑。

3.服务不存在，执行自身逻辑：

• 将自身复制到系统目录：GetModuleFileNameA获取当前进程路径，GetWindowsDirectoryA获取系统路径，strncmp比较当前是否在系统目录，如果不在，根据时间戳生成随机字符串作为文件名并拼接后缀.exe，释放到系统目录C:\Windows\下
• 将全局变量dword_409638设为1表示复制完成，避免重复。
• 调用advapi32.dll的多个函数，请求最高权限创建服务，名称为15654656，显示名为456876，权限所有，类型设置为内核模式驱动，路径指向系统目录下的复制的恶意文件。然后调用StartServiceA启动服务。
  
• 获取自身路径并转换为短路径，获取一个环境变量COMSPEC，调用cmd静默删除自身文件内容cmd.exe /c del 自身短路径 > nul，但这个命令优先级设置为空闲状态运行，以保证自身的逻辑可以执行完。
  

4.服务存在，执行恶意逻辑：

• 无限循环执行，保证一直运行
• 创建互斥体，避免重复运行
• 枚举RT_RCDATA类型的资源，写入当前工作目录下的hra33.dll，由于已经启动服务运行的是复制到C:\Windows\的病毒文件，因此这个dll也写入该目录。
  
• 创建两个一模一样的线程：
  
  检查当前时间是否超过20130221，如果是则创建一个线程，无限循环执行：创建TCP连接到aa.re67das.com:9533，
  
  读取系统版本号、CPU核心数量、物理内存大小、网络适配器速度以及系统已运行时间打包成数据包发送。
  
  如果send返回值不是-1，则接收返回数据，先接收8字节数据头，再根据数据头循环接收指定长度的数据。指令类型分为8种：
  • 0x10：接收一个URL，从这个URL下载文件到临时目录，并用时间戳命名。
    
  • 0x12：接收一个URL，下载新的病毒程序并执行，同时清除自身病毒程序的痕迹：停止服务、删除注册表、删除文件、关闭网络连接。
    
  • 0x14：启动iexplore.exe打开接收的URL。
    
  • 十进制2：读取新配置，应用新配置
  • 十进制3：接收任务配置值（类型、次数），创建线程执行指定类型任务，这里又对应4种类型：
    
    • 类型5：get请求aa.re67das.com:8080；
    • 类型6：大量创建iexplore.exe进程掩盖访问恶意网站的iexplore.exe进程；
    • 类型7：发送大量无效请求干扰分析；
    • 类型8：发送5ms间隔的高频http请求；
  • 十进制4：创建线程，通过TCP或UDP像接收到的地址发送大量垃圾数据
    
    
  • 十进制5：设置全局标志位为1，所有正在进行的操作读取到这个标志位后立即停止
    
  • 十进制6：清除自身病毒程序的痕迹：停止服务、删除注册表、删除文件、关闭网络连接
    

shockwave123

分析全面，学习学习

wyjtpp

大佬牛皮，全是知识盲区

KCL

牛批 佬好会分析

moving

学习学习学习。。。

yycvip

这也太高深了，看不懂啊

arealmankunkun

分析全面，学习学习

leafblack

如果想看懂代码，我该去学什么

hbesljx

leafblack 发表于 2025-11-30 15:53
如果想看懂代码，我该去学什么

想看懂代码可以学一下C++，多实战分析几个木马病毒基本上就能看懂了