吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13025|回复: 167

[PC样本分析] 天台人满为患,不如来看下这个 Ramnit 蠕虫分析!

    [复制链接]
发表于 2018-6-25 23:15 | 显示全部楼层
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 JustPlay 于 2018-6-27 15:03 编辑

今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置…心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手分析才发现并没有我想得那么简单...
一、基本信息
  MD5  
ff5e1f27193ce51eec318714ef038bef
  文件大小  
55 KB
  运行平台  
Windows
  Sha256  
fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320
拿到可疑文件第一时间扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,咱只需要坐在老板椅上,翘着二郎腿,喝着茶,唱着歌,没一会儿功夫分析报告就出来啦~
图片 1.png
图:微步云沙箱报告截图

简单看下报告的概要信息,有 Ramnit 标签。Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。
二、行为分析
上手之前准备工作要做足,先梳理下流程:
图片 2.1.png
2.1 首先使用 PEID 查壳,发现具有 UPX 壳,UPX 壳比较好脱,T 友们可以自行脱壳
图片 2.2.png
2.2 过了一层壳之后,接着又是一段解密代码,一直走下去,最终又会回到 0x00400000 地址段中,你会发现,和源程序一样,是经过 UPX 加壳的。

图片 2.3.1.png
2.3 依照同样的方法跳过 UPX 壳后,就进入到样本的主体程序。样本首先会查询系统默认的浏览器路径,如果查询失败就使用IE浏览器(后期用来进行进程注入),如果两个方法都失败,就会退出程序。
图片 2.3.png
2.4 通过检查互斥体 KyUffThOkYwRRtgPP 是否已经存在来保证同一时间只有一个实例在运行。
图片 2.4.png
2.5 进程名校验,样本会首先判断自己的进程名是否为 DesktopLayer.exe,如果是的话,就退出此函数,如果不是,就会构造 c:program filesmicrosoft 目录,然后将自身拷贝的此目录下,并命名为 DesktopLayer.exe,然后启动此程序。
图片 2.5.png
2.6 当自身进程名为 DesktopLayer.exe 时,将会对函数 ZwWriteVirtualMemory 进行 Inline Hook,回调函数如下:
图片 2.6.png
2.7 接着创建进程,此进程为开头获得的浏览器进程,在进程创建时会调用 ZwWriteVirtualMemory 函数,而这个函数已经被 hook 并跳转到 sub_402A59,此函数的主要功能就是对启动的目标进程进行进程注入,并将一个 PE 文件写入目标进程,写入的 PE 文件原本是嵌入在自身文件中的。使用 16 进程程序可以发现,脱壳后的样本中嵌入的 PE。
图片 2.7.png
2.8 注入完之后会还原 ZwWriteVirtualMemory 的代码。
三、详细分析
经过这么多的操作,其实它的重点行为才刚刚开始。
3.1 使用 OD 附加到目标程序,经过几个函数的调用就会进入到嵌入的 PE 文件中,程序结构比较清晰。
图片 3.1.png
3.2 创建不同的线程执行不同的功能,下面对其中几个比较重要的线程进行说明:
Sub_10007ACA:将自身文件路径写入注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,实现自启动。
图片 3.2.png
Sub_1000781F:在 c:program filesInternet Explorer 下创建 dmlconf.dat 文件,并写入 FILETIME 结构体数据。
Sub_10005906:此线程没有被运行,不过通过对代码的静态分析,发现它会监听 4678 端口,等待连接。收到连接后会接受命令并执行对应的操作。所以猜测此线程为一个后门,用来接收攻击者的命令.
图片 3.3.png
Sub_1000749F:此函数中会创建两个线程。
图片 3.4.png
其中 Sub_10006EA8 用于感染 exe,dll,html,htm文件,总体思路都是将自身文件写入到目标文件中,例如下图感染的 htm 文件。写入的是一个 VB 脚本,变量 WriteData 存储的是一个 PE 文件。
图片 3.5.png
受感染的 PE 文件会多处一个 rmnet 段。
图片 3.6.png
Sub_10006EC2:感染可移动介质,他会将自身写入到可移动介质,并在目录下创建 autorun.ini 文件,然后写入如下数据:[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe其中 AbxOgufK.exe 即为自身程序。分析过程中发现的域名 fget-career.com,经查询得知为恶意域名。
图片 end.png
四、总结
深知自己分析能力有限,其实就是想抛块砖嘛(内心无比的鄙视自己...),样本分析是个技术活,也要耐得住寂寞,没有一款解闷的好工具怎么行?这次用的微步云沙箱提前为我多维度的检测样本,省力又省心,感兴趣的朋友可以多用用哈~
P.S. 天台上的 T 友们快下来吧!这么多恶意软件等着你们来分析呢!世界需要你们来守护~T 友们可以到微步云沙箱查看分析报告,继续深度分析,报告地址如下:fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320
超链接不行的话,就麻烦大家复制网址查看了:https://s.threatbook.cn/report/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=bR7G85RG
(管理员是不是调整一下编辑器)

免费评分

参与人数 75吾爱币 +76 热心值 +71 收起 理由
hglee + 1 + 1 用心讨论,共获提升!
回忆是暮色渐浓 + 1 + 1 我很赞同!
MintTang + 1 用心讨论,共获提升!
ruoning + 1 + 1 热心回复!
vince991 + 1 + 1 我很赞同!
做人不老实 + 1 谢谢@Thanks!
czxtzh + 1 + 1 谢谢@Thanks!
lxbhehe + 1 + 1 用心讨论,共获提升!
一丝不.挂 + 1 用心讨论,共获提升!
bpzm1987 + 1 + 1 热心回复!
冷锋0663 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
qq31415 + 1 + 1 谢谢@Thanks!
如实知见 + 1 + 1 用心讨论,共获提升!
仓鼠666 + 1 + 1 谢谢@Thanks!
siuhoapdou + 1 + 1 用心讨论,共获提升!
willowsun + 1 我很赞同!
冰域雪蝶 + 1 + 1 热心回复!
锁匙扣 + 1 + 1 我很赞同!
anonyman + 1 + 1 前几天中了 还好百度找到个专杀工具 不破坏文件 需要的自己百度
nnnr + 1 + 1 谢谢@Thanks!
zym8058 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
xyuetao + 1 + 1 用心讨论,共获提升!
你好,再见 + 3 卡饭看到特来捧场!!!!!
wapojie + 1 + 1 楼主请问下你流程图用什么软件画的
a37324614 + 1 + 1 我很赞同!
skiss + 1 + 1 谢谢@Thanks!
测试中…… + 1 + 1 用心讨论,共获提升!
lxf + 1 谢谢@Thanks!
girllovecs2011 + 1 + 1 用心讨论,共获提升!
优Hssw + 1 + 1 收藏了,虽然看不懂,谢谢大神分享~
氧气哥哥 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
pojielajiruanji + 1 + 1 这个流程图确实得送评分
a5606495 + 1 + 1 用心讨论,共获提升!
菊花朝墙 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
zhuyi3609 + 1 + 1 谢谢@Thanks!
whojeff + 1 + 1 用心讨论,共获提升!
tztt3033 + 1 + 1 用心讨论,共获提升!
mmtzwyd + 1 + 1 我很赞同!
想了五分钟 + 1 + 1 我很赞同!
懒癌萌妹子 + 1 + 1 热心回复!
枫叶之秋 + 1 + 1 热心回复!
zswseu + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
weifei139 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
daliang666 + 1 + 1 教练我想学
小学生一枚 + 1 + 1 我很赞同!
shaunkelly + 1 + 1 大神说话就是那么好听啊
f8561 + 1 我很赞同!
NNovice丶 + 1 + 1 我很赞同!
RangingGigges + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lookerJ + 1 + 1 用心讨论,共获提升!
末代俊少 + 1 我很赞同!
lasetim + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
jianailing + 1 + 1 我很赞同!
静叶流云 + 1 + 1 热心回复!
极地企鹅 + 1 + 1 我很赞同!
zhczf + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lbxfather + 1 + 1 看完回去天台还是那么多人
小红 + 2 + 1 给流程图点赞o( ̄▽ ̄)d
二逼159 + 1 + 1 谢谢@Thanks!
韩老师长得帅 + 1 + 1 我还以为你要给天台加护栏
liphily + 1 + 1 我很赞同!
sunnylds7 + 1 + 1 热心回复!
jiujian118 + 1 + 1 谢谢@Thanks!
wdyy + 1 + 1 我很赞同!
夏雨微凉 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
dj1149 + 1 + 1 分都给你,我还是去挤挤天台吧
united + 1 + 1 我从天台 下来就是为了看这个(看不懂)
anixix + 1 + 1 我很赞同!
山顶的一棵草 + 2 + 1 我想和楼主学流程图!
hsaihuaer + 1 + 1 用心讨论,共获提升!
子五十 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hehanzhiwen + 1 + 1 这个流程图,得送评分!
我叫百万 + 1 + 1 虽然我看不懂 但是很厉害的样子
顶级流氓 + 2 + 1 我很赞同!
╰Tang + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-25 23:32 | 显示全部楼层
JustPlay 发表于 2018-6-25 23:29
这个排版真是个问题,编辑的时候好好的,一发布就各种问题,报告地址也不是超链接了,后面怎么又多出一个图 ...

收藏一份分析哈
帮楼主答疑:超链接得升级到前途无量也就是200积分才可以变成超链接,除了论坛特殊帖子外
                      多出一张图估计是因为你导入进去时导入了两张一样的吧,因为没有用上就会在最后贴上的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-26 11:31 | 显示全部楼层
分析挺好,给精华鼓励,期待更多分析,另外觉得编辑器有什么问题?可以试试markdown来写文章,论坛也支持,更好看。

这个样本之前也有很多分析,比如:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-6-25 23:29 | 显示全部楼层
这个排版真是个问题,编辑的时候好好的,一发布就各种问题,报告地址也不是超链接了,后面怎么又多出一个图来,我真是醉了。

免费评分

参与人数 1热心值 +1 收起 理由
liphily + 1 等级问题,大概是为了防止小号打广告吧

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-25 23:30 | 显示全部楼层
幸亏你看不懂世界杯了。。。要不然你这大神还不场场稳赢

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-6-25 23:35 | 显示全部楼层
╰Tang 发表于 2018-6-25 23:32
收藏一份分析哈
帮楼主答疑:超链接得升级到前途无量也就是200积分才可以变成超链接,除了论坛特殊帖子 ...

多谢提醒,图的问题解决了,积分的问题,我慢慢挣吧

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-6-25 23:36 | 显示全部楼层
春秋冬夏° 发表于 2018-6-25 23:30
幸亏你看不懂世界杯了。。。要不然你这大神还不场场稳赢

你怎么知道我看不懂我对足球确实没什么兴趣

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-25 23:55 | 显示全部楼层
开始看帖子不明白天台人满为患什么意思,进来才清楚哈

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-26 00:10 | 显示全部楼层
太牛了 谢谢楼主

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-26 00:58 | 显示全部楼层
感谢分享

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-6-26 01:17 | 显示全部楼层
虽然我看不懂,但是觉得很厉害

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-7-19 14:07

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表