论坛样本分析之带自解压木马分析

Hyabcd

  原帖地址http://www.52pojie.cn/forum.php?mod=viewthread&tid=395128&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline 楼主说这是个比特币病毒，分析了一下没有发现比特币病毒特征。科普一下，比特币病毒主要有两种，一种是通过感染计算机上各种类型文件并进行加密从而敲诈比特币的病毒，也是一种“敲竹杠”病毒；另一种是以木马形式存在，控制用户计算机中的挖矿软件进行挖矿。一般来说比特币病毒指的是前一种，不过在这个样本中并没发现具体相关的特征，倒是具有木马的特征。
   该木马只有30多k。用OD加载可以发现，刚开始该程序通过FindResource和GetEnvironmentVariable这两个函数查找相关资源和环境变量的值。不过查找的字符串看似加密过的，先放过不提。
  再进行多次这样的查找和获取之后，该程序使用VitrualAllocEX开辟一段内存，可以推测，程序将要进行自解压，而这段内存将会用来存放解压后的代码。开辟的内存是随机的，地址为950000.

  继续往下走，可以发现一大段数据搬移的汇编代码，而最后用jnz来进行循环，可以断定这段代码作用就是自解压。数据窗口跟随950000，jnz后下断点直接F9运行，即可看到这段内存被数据覆盖，那么刚刚那段代码自解压的作用便可得到确认。

  继续往下走，可以发现程序又开辟了两个内存960000和970000，并把950000内的部分代码顺次拷贝到这两个内存中，最后又把970000后半段的代码（这部分代码可能为真正执行程序功能的代码）拷贝到程序原地址中，也就是以40开头的地址中，整个自解压过程真正结束。这部分作用进行相关PE文件格式的构造以及一些库的加载，只是个人猜测，并不能完全确定功能。

  接下来程序就要执行真正的功能，显示创建临时文件并用ShellExecute打开创建的文件，是个写字板。

  然后程序休眠五分钟之后开始执行它的恶意功能。通过http一系列的API通过GET的方式从指定网址获取压缩包，，并读取压缩包的数据。

  从这里可以发现，之前加密的字符串可能对应的就是这些函数的信息。这部分程序循环的从五个网址上GET压缩包，并且读取包中数据，可以推测该压缩包具有恶意功能。不过楼主亲测了一下，。这五个网址都已经失效，也无法GET到压缩包，所以压缩包具体功能如何也不得而知。在进行完这一系列工作之后，程序释放掉开辟的内存并关闭进程。
  可以看出，该程序的恶意功能就是GET压缩包，并读取数据，但由于那些网址已经失效，具体功能如何也不得而知。分析中出现的错误遗漏也请大家帮忙指正。

Hyabcd

在本版中发现了同样的比特币病毒的帖子http://www.52pojie.cn/thread-327456-7-1.html，现在确定这确实是比特币病毒，作用的应该就是get到的那些压缩包，只不过链接已经过期