本帖最后由 foolish 于 2015-12-2 16:48 编辑
样本
分析过程
启动方式,借用rundll32来调用_WGN.nil的导出函数rundll32。
_WGN.nil的功能很简单,对文件desktop.ini文件的内容进行解密,然后加载调用。IDA反汇编截图:
这里用Python写了一个解密的脚本:
[Python] 纯文本查看 复制代码 #coding:utf-8
src = open('desktop.ini').read(0x1000)
key = ord(src[0]) ^ 0x4e
dst = ''
for i in src:
dst += chr(((ord(i) ^ key) + 66) & 0xff)
print dst.encode('hex')
主要来分析SHELLCODE的功能
- 获取多个函数地址
- 尝试打开互斥体CCC
- 设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为正常
- 下载文件http://m.deltaheavy.ru/m,保存为Thumbs.db
- 创建文件夹:C:\MSI
- 使用fopen,getc,putc,fclose等函数将文件Thunbs.db复制为C:\MSI\TrustedInstaller.exe
- 设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为隐藏、只读、系统
- 使用WinExec调用C:\MSI\TrustedInstaller.exe执行
- 使用WinExec调用usb3.exe
- 删除usb3.exe
- 结束
主要恶意行为
其实该文件就是一个典型的下载者,并未对本地文件进行修改,只是下载恶意程序,并运行。删除该文件即可。
| 
[复制链接]
发表于 2015-12-2 16:46
