吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 27819|回复: 81
收起左侧

[PC样本分析] 一个感染型木马分析3601——我在吾爱的第1个样本分析

  [复制链接]
安静的小酒吧 发表于 2015-11-17 01:02
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 安静的小酒吧 于 2015-11-17 17:14 编辑

3601分析报告
安静的小酒吧
基本信息
  
名称
  
3601
类型
感染型病毒
来源
吾爱破解-病毒样本区
运行环境
Win  XP
壳信息
UPX  -> Markus & Laszlo ver. [ 3.91 ]
开发语言
EP  code like Delphi/C++ but different structure
分析环境
Win  XP
分析时间
2015-11-1
文件信息
文件名
文件大小
Hash
3601.exe
24.0KB
MD5
B5752252B34A8AF470DB1830CC48504D
SHA-1
AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18
简介
样本来自吾爱破解论坛病毒样本区(具体链接找不到了,谁要是看到了记得给个链接哦,谢谢啦)。样本会感染ZIP和RAR文件(前提是你装了WinRAR),有多个上线地址(都已无法连接)。
样本附件: 3601.zip (21.63 KB, 下载次数: 228) (解压密码:52pojie)
分析报告: 分析报告.zip (509.49 KB, 下载次数: 140) (PDF版,看着舒服些)
技术特征执行流程
IDA下的部分函数名和变量按照我的个人习惯已经重命名)
一、主程序模块功能:
1.      样本被加壳,UPX,脱壳

image1.png
(最近喜欢用Exeinfo查壳,PEID好久不更新,新壳查的不全)
2.      读取一个固定的注册表项,检查自身是否已经在系统中驻扎,如果没有则随机产生一个文件名,将自身拷贝到C:\\Windows\\ 目录下。
image2.png
读注册表
image3.png
随机生成文件名,复制自身
3.      注册服务并启动,服务名:Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst
image4.png
注册并启动服务(这些函数是动态加载的,名称是我根据LoadLiarbrary()的参数命名的)

4.      写注册表(写入的注册表项就是前面读取的注册表项),主程序退出。
二、服务模块功能
         关于服务程序的调试,感兴趣的可以去看看《逆向工程核心原理》相关部分的讲解(第54调试练习1:服务),提供了2种方法,我这次选择的是OD加载后直接把EIP指向SvcMain函数的起始指令(也就是第一种方法),但是这个会稍微有点问题就是程序和服务有关的API会失效,所以关键位置位置需要手工改一下(其实就是nop nop 那些API调用)。SvcMain函数的位置看一下注册服务时注册的地址就可以了(这个样本的SvcMain0x40561A)。
image5.png
(就是这一块,服务有关的API调用可以直接nop掉)
1.      创建互斥体,这是一般样本很常见的行为了
         互斥名:Ghijkl NopqrstuWxy
image6.png
2.      释放一个DLL文件并加载,dll名称hra33.dll。加载后的DLL功能后面另开一张在说明。
           前两天看到论坛一个样本分析里面也释放了相同名称的样本,我看着像同一个样本,但是看着分析结果不太相同,所以自己已经分析到这了就把它写下去吧。我是新手,大牛轻拍。。。
image7.png
(再说一下,函数名是我根据功能按照自己的命名习惯重命名的,大家有什么好的重命名习惯可以一起交流哦)
3.      接下来是四个线程,分别有不同的工作:
image8.png
4.      第一个线程,入口函数我重命名为ipc_copy,它好像想IPC$的方式尝试拷贝一个一个文件,利用这个来枚举windows密码,我不了解IPC$,大牛可以科普下。
image9.png image10.png
(这些应该是它枚举的密码)
image11.png
(这个应该是它在尝试拷贝文件)
         这个线程的主要功能就这些吧。
5.      第二个线程
         1)先尝试连接一个主机,sbcq.f3322.org
image12.png
        2)搜集操作系统语言、版本、内存、网卡等信息并发送。
image13.png
         3)尝试加载hra33.dll,并把加载结果反馈给控制端。
image14.png
(这个信息是和上面的搜集到的信息一起发送的)
         4)然后就是一个很大的switch..case…语句对控制端的命令进行处理。主要功能包括,命令执行,dll加载,创建和释放互斥体,进程退出等。不再赘述。
6.第三个线程,主要功能和上一个一样只是回连的地址不同,这个是:www.520123.com
7.第四个线程,和前面的功能也一样,只是回连的地址是:www.520520520.org:9426
         不同的是它处在一个while1)的循环中,会定时去重连,检测连接状态。
服务程序就是以上功能。
三、hra33.dll模块
1. 判断自身所处环境是否为temp目录,如果不是则将自身拷贝到temp目录并重命名为hrl1D.tmp
image15.png
2.创建一个新的进程,搜索.rar和.zip文件,并进行感染。
image16.png
(搜索rar和zip文件)
image17.png
(往rarzip文件里面添加文件)
加密算法
1.回连的url地址都使用了base64加密。
2.数据通信部分没有认真分析是否存在加密。

查杀方法
删除对应服务、删除system32目录下拷贝的文件(名称是随机的,可以看看样本的icon,两个是一样的)即可。

其他
一两周之前分析的样本,一直懒得写报告。。。
晚上去跑步了,挺累的,还熬夜,好累,简单写写睡了。
大牛轻拍。安全帽在双11物流大军里还没有到。


免费评分

参与人数 32吾爱币 +2 热心值 +32 收起 理由
Azure_atk + 1 + 1 谢谢@Thanks!
soZra + 1 + 1 谢谢@Thanks!
stupidjia + 1 我很赞同!
孤街浪徒 + 1 感谢您的宝贵建议,我们会努力争取做得更好.
woainiheibao + 1 热心回复!
夜色迷离 + 1 我很赞同!
fenghaoda + 1 我很赞同!
Tonwed + 1 我很赞同!
疯,也是一种态 + 1 我很赞同!
ak103 + 1 我很赞同!
zbrfv + 1 分析的很全面
氓之嗤嗤 + 1 已答复!
Mr.Mlwareson_V + 1 鼓励转贴优秀软件安全工具和文档!
tusdasa翼 + 1 我很赞同!
zhouyingbin2015 + 1 热心回复!
shaoyinjian + 1 谢谢@Thanks!
769077176 + 1 谢谢@Thanks!
1485573943 + 1 我很赞同!
NYX + 1 谢谢@Thanks!
zouxm2008 + 1 热心回复!
罒_罒 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
yypE + 1 前排膜拜能分析病毒的大牛
Tortoise + 1 谢谢@Thanks!
eir + 1 已答复!
威廉 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
铁柱仙踪 + 1 膜拜牛人。
tzxinqing + 1 前排膜拜能分析病毒的大牛
苏紫方璇 + 1 前排膜拜能分析病毒的大牛
pnjgyl + 1 谢谢@Thanks!
山顶的一棵草 + 1 大侠啊。收徒弟不~
SUOYIK + 1 我很赞同!
ppszxc + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

phyiex 发表于 2015-11-18 20:47
新手先来学习,支持前辈们的努力工作,最近我安装了一款播放软件,此款软件会劫持360安全浏览器,换成播放器里的一个网页,而且会劫持IE主页,改成http://7xld6q.com1.z0.glb.clouddn.com/,只是属于危害型的,可以用360软件和Wise Care 365 Pro等软件进行修复,每次我要换此劫持网页删掉,把360安全浏览器页面重新弄出来,想问到,各位高手们,这个改主页是不是云劫持呢?
小生不怕不怕 发表于 2015-11-18 11:54 来自手机
目测要火 后排出售辣条,薯片,巧克力,虾条,棒棒糖,瓜子,混沌,炒米粉,老母鸡汤,宫保鸡丁,火爆大虾,清蒸鲈鱼,爆炒腰花,葱花饼,鸡蛋汤,油条,煎饼,肉夹馍,羊肉串,烤鸡腿,考鸭腿,苹果,香蕉,橘子,番茄,椰子,火龙果,等等等,更有螺旋式套套,低价出售。
萋小磊 发表于 2015-11-17 01:37
目测要火 前排出售瓜子,花生,爆米花,可乐  一个CB  买不了吃亏 买不了上当
LightSylcanus 发表于 2015-11-17 01:46
后排板凳准备好
1485573943 发表于 2015-11-17 04:46
谢谢分享
n123896 发表于 2015-11-17 04:48
很不错 值得学习!!
吾爱丶小灰 发表于 2015-11-17 06:12
看不懂。。。。
maxingfei2 发表于 2015-11-17 06:42 来自手机
完全看不懂啊需要继续努力学习啊
t2st 发表于 2015-11-17 08:59
分析代码那块好详细,卤煮要是能科普下怎么静态分析代码就更好啦。
willJ 发表于 2015-11-17 09:35
分析得不错,加精鼓励

“但是这个会稍微有点问题就是程序和服务有关的API会失效,所以关键位置位置需要手工改一下”。

这么好的技巧就直接说出来吧。
 楼主| 安静的小酒吧 发表于 2015-11-17 10:00
竟然被加精了了了了。。。受宠若惊!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 23:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表