吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 27744|回复: 25
上一主题 下一主题
收起左侧

[PC样本分析] HEUR.Trojan.Win32.Generic木马分析

  [复制链接]
跳转到指定楼层
楼主
Cherishao 发表于 2018-2-6 17:30 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Cherishao 于 2018-2-7 14:34 编辑

0x00  概述

早上得到了个HEUR的木马样本,一开始以为是病毒,傻傻的我也不知道用杀软检测下,就直接扔虚拟机兴冲冲的分析去了,于是写了篇帖子,记录下思路,才发出来,Poner大佬留言说:“你这分析没有恶意行为分析,就是简单的修改下注册表”,纳尼,仔细想了下,把这茬给漏了,之后Himily大佬说“看到了木马安装的过程,但木马的实际作用还待补充”,吾爱真是一个充满'爱'的家庭,在此感谢吾爱,感谢Poner大佬,Himily大佬的指导,感谢 mortalboold等热心坛友的帮助。

0x10 样本分析

文件名称:HEUR.Trojan

文件大小:21kb

木马名称:HEUR.Trojan.Win32.Generic

MD5:949ea65730aef6b36222dc4c8104b295

Sha-1:a4b88d6f840c0189b1aa4d24b69e4e4104c2a356

CRC32:149F7137

0x20 样本行为

0x21 UPX查壳

先查壳,发现是UPX压缩壳,因为这个壳特征很简单,不用脱壳,直接载入OD。

0x22 找入口点

根据堆栈平衡的原理,现在直接来到程序入口点。

0x23 程序路径获取

找到入口点后我们一步一步往下走, 到这里后发现获取了程序的当前路径,下面有一个循环,把该路径一个字符一个字符的存入堆ss寄存器。

0x30 函数调用

继续往下,这里开始进入了关键函数,call进去之后,紧接着在调用函数。

0x31 获取函数地址

现在我们开始看到它获取了关闭注册表函数的地址,下边rep stos对堆栈段进行了一段初始化。

0x32 路径存储

这里得到注册表的路径,并把路径存到地址0x0012FC50

0x33 注册表项创建

下面是要创建的注册表项的名称,现在把他们连接成一个完整字符串,这里压入的三个字符串,前两个是后面要创建服务的属性项。

0x34 属性解读

call进去之后,一大段的获取函数的地址,

直接往后边走

0x35 路径比较

这里获取了C:\WINDOWS的路径,后面紧接着一个判断,把该路径和当前路径比较,若路径不同则执行下面这段,若相同则跳过下面这段,这段是开始释放他的exe文件,继续往下。

0x36 系统函数调用

这里连接着调用了6个一样的函数,该函数调用了系统的getTickcount函数,大致目的就是为了获取一个随机字符,6个字符作为释放的文件名。

0x37 文件拷贝

在获取完整路径后,将程序拷贝到释放的可执行文件里。

可执行程序如下:

0x38 注册表修改

上边释放文件完毕后紧接着开始修改注册表,创建服务。图十六是创建的注册表项。我们可以看到注册表里的一些参数值,imagepathstart,这里start=2代表他是自启动的。

注册表:

0x39 锁服务数据库

创建完成后,锁住服务数据库,应该是防止其他程序访问,后面会解锁该服务,又加了一条描述信息(没什么用)和一个参数failureaction是(字面理解可能是报错之后的行动)。

注册表:

创建完成后,设置了description的值。

0x40 引导文件删除

所有操作执行完后,后面开始第二步,调用命令行删除引导文件。先获取文件完整路径,然后获取命令行的路径,把要执行的语句拼接成一个字符串。

打开命令行,执行删除语句,删除原程序,没删掉的话后面还有在调用函数删除一次,退出。

退出:

0x50 行为分析

1、修改注册表,创建服务,实现自启动;

2、释放可执行文件在C:\WINDOWS目录下;

3、调用命令行删除引导文件。

4、遍历文件获取特定函数。

5、浏览器劫持,劫持类型为IE,Mozilla Firefox和谷歌浏览器,并把你的网页定向到指定链接。

6、放慢Windows性能,让CPU运行在100%高的计算资源。

7、打开系统的攻击端口,并导致失密机附加感染

8、可能会打开一个后门,被黑客远控

9、可以利用发现的安全漏洞,窃取数据机密泄露给第三方。

0x60 清除方法

0x61 检测

如果您不确定文件是否正确报告,可以将受影响的文件提交到https://www.virustotal.com/en/,以使用多个防病毒引擎进行扫描。

0x62 清除

1、使用杀毒软件

第1步:使用Malwarebytes删除HEUR.Trojan.Win32.Generic病毒

第2步:使用HitmanPro扫描恶意软件和有害程序

第3步:使用Emsisoft Emergency Kit仔细检查恶意程序

第4步 :将浏览器重置为默认设置

2、手动删除

打开注册表,删除SYSTEM\CurrentControlSet\Service\Vwxyabcd..
删除C:\WINDOWS释放的exe文件(图标是一个人脸,名字是随机的六个字符)。

注意:手动删除是一个高风险的过程,因为它与系统的关键部分有关,建议您在删除之前,备份注册表相关信息。

0x00 Show me the demo

百度网盘链接:https://pan.baidu.com/s/1nxmTv0P 密码:a419

压缩包提取密码:52pojie

免费评分

参与人数 8威望 +1 吾爱币 +18 热心值 +7 收起 理由
粉藍弟 + 1 + 1 我很赞同!
daryldai + 1 + 1 我很赞同!
kicebeauty + 1 + 1 谢谢@Thanks!
其实什么都没有 + 1 + 1 用心讨论,共获提升!
mortalboold + 1 + 1 一起进步
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
bushcs + 2 + 1 谢谢@Thanks!
kk1212 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Hmily 发表于 2018-2-6 18:31
只看到木马安装过程,木马实际的作用了,补充完整可以根据质量考虑加精。
推荐
Poner 发表于 2018-2-6 17:53
本帖最后由 Poner 于 2018-2-6 17:55 编辑
Cherishao 发表于 2018-2-6 17:50
行为分析,说了它干啥呀。

你自己在看看  行为方面除了通过服务开机启动还有啥?

你不说说这病毒的恶意行为在哪  算什么病毒分析?

你的意思是这样本的恶意行为就是删除引导?
沙发
kk1212 发表于 2018-2-6 17:46
3#
Poner 发表于 2018-2-6 17:47
你至少也得说说他干了些啥啊   比如远控?勒索?
4#
bushcs 发表于 2018-2-6 17:48
你真的好厉害啊
5#
 楼主| Cherishao 发表于 2018-2-6 17:50 |楼主
Poner 发表于 2018-2-6 17:47
你至少也得说说他干了些啥啊   比如远控?勒索?

行为分析,说了它干啥呀。

点评

你自己在看看 行为方面除了通过服务开机启动还有啥? 你不说说这病毒的恶意行为在哪 算什么病毒分析?  详情 回复 发表于 2018-2-6 17:53
6#
 楼主| Cherishao 发表于 2018-2-6 17:51 |楼主
kk1212 发表于 2018-2-6 17:46
分析的非常的详细,学习了

主要是理了下思路,加油!
8#
 楼主| Cherishao 发表于 2018-2-6 17:59 |楼主
Poner 发表于 2018-2-6 17:53
你自己在看看  行为方面除了通过服务开机启动还有啥?

你不说说这病毒的恶意行为在哪  算什么病毒分析 ...

好的,回头再看下,感谢点评。
9#
 楼主| Cherishao 发表于 2018-2-6 18:25 |楼主
kk1212 发表于 2018-2-6 17:46
分析的非常的详细,学习了

分析的还是不够详细,在行为分析方面有很大的不足,后头,在研究下,继续改进。

免费评分

参与人数 1热心值 +1 收起 理由
kk1212 + 1 用心讨论,共获提升!

查看全部评分

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 09:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表