骷髅病毒分析报告

栏目: 编程工具 · 发布时间: 5年前

骷髅病毒分析报告

一:目录

  • 1.样本信息
  • 2.行为分析
  • 3.样本分析
  • 4.详细分析

二:样本信息

  • 1.样本名称:样本.exe(脱壳后为样本dump.exe)
  • 2.md5:5b8bc92296c2fa60fecc6316ad73f1e2
  • 3.是否加壳:加壳UPX
  • 4.编译语言:visual C++

三:行为分析

  • 1)通过注册表判断系统是否被感染
  • 2)获取windows目录,利用计时器实现随机命名,把病毒copy到windows目录实现隐藏
  • 3)删除样本文件
  • 4)创建服务,实现自启

骷髅病毒分析报告

  • 5)链接指定url,执行后门行为。

四:详细分析

  • 1.PEID查壳,发现是UPX加壳,ESP定律法脱去
  • 2.病毒先将currentcontrolservices和15654656链接起来,并且利用RegOpenKey来打开这个注册表。 目的是:判断这个服务是否被创建,换句话说看病毒是否在系统内存在

骷髅病毒分析报告

骷髅病毒分析报告

  • 3.如果这个服务不存在,病毒执行405A25,打开服务管理器。然后获取windows目录,比较c://windows,接着通过GetTick来获取计数器,复制那个exe文件到windows目录。 目的是实现自身的隐藏 接着调用CreateService来创建病毒服务。判断服务是否开启,然后开启服务,最后,先获取获取目录信息,接着获取当前进程信息, 目的是获取样本文件的信息,以便为删除做准备 然后调用shellEx利用cmd执行/c del >nul删除样本文件,设置进程的优先级。 以便后续为破坏做准备

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

骷髅病毒分析报告

  • 4。如果这个服务存在的话,执行后续操作。
  • 5.通过调用StartServiceCtrlDispatcher函数,执行线程

骷髅病毒分析报告

  • 6.分析该服务线程
    • 1)先获取例如closesocket和SDetServiceStatus等函数的地址

骷髅病毒分析报告

    • 2)创建一个互斥体, 目的是使系统中只有一个病毒实例在运行
    • 3)创建一个线程,然后枚举资源列表,更新文件。
      • a)先和”2”一样,打开15654656注册表,判断病毒是否运行成功。

骷髅病毒分析报告

      • b)获取文件属性,并创建一个文件,读取文件,替换文件资源

骷髅病毒分析报告

骷髅病毒分析报告

      • c)加载刚刚替换的资源文件hra%u.dll

骷髅病毒分析报告

    • 4) 分析第一个线程:

骷髅病毒分析报告

  • a)获取网络主机名和地址

骷髅病毒分析报告

  • b) 比较用户名和密码:

骷髅病毒分析报告

  • c) 获取当前文件路径,并把文件分别复制到C,D,E盘中(E:g1fd.exe)【调用copyfile函数执行】

骷髅病毒分析报告

  • d) 如果在C,D,E中则会获取当前时间,然后执行程序,否则把文件复制到F盘,然后休眠500ms后创建下个线程.

骷髅病毒分析报告

    • 5) 分析第二个线程:
      • a)初始化网络配置,休眠100ms,获取本地时间,转化为int类型,和20030221比较,如果小于的话,则一直执行,然后创建CreateStartFun线程(本质是调用StartAddress函数)。

骷髅病毒分析报告

骷髅病毒分析报告

      • b)在StartAddress内部先访问一个短地址aa.re67das.com,然后获取IP地址利用socket链接。
      • c) 获取机器的基本配置,然后load hra%u.dll

骷髅病毒分析报告

      • d) 利用send()发送刚刚获取的机器信息。

骷髅病毒分析报告

      • e) 利用SelectAndRev3这个函数去不断的从服务器端接收控制信息,

骷髅病毒分析报告

      • f)输入16号控制码:

骷髅病毒分析报告

      • g)输入18号控制码(行为见脑图):

骷髅病毒分析报告

    • 6) 分析第三个线程:
      • a)获取本地时间,如果小于2013.02.21则线程不断执行

骷髅病毒分析报告

      • b)否则执行线程如c:
      • c)如上,分析线程2所示一致。只是比2多了一个文件写入的函数

骷髅病毒分析报告

    • 7) 分析第四个线程:

骷髅病毒分析报告

  • a) MainFun4只是比MainFun3多了一个连接特定url的函数,但是这个解密过程没分析出来,但是你可以通过apadns来获取相关信息。

骷髅病毒分析报告

骷髅病毒分析报告


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

仿生智能计算

仿生智能计算

科学出版社 / 2011-1 / 50.00元

《仿生智能计算》系统、深入地介绍了仿生智能计算的起源、原理、模型、理论及其应用,力图概括国内外的最新研究进展。全书共分12章,主要包括仿生智能计算的思想起源、研究现状及机制原理,仿生智能计算的数学基础;蚁群算法、微粒群算法、人工蜂群算法、微分进化算法、Memetic算法、文化算法、人工免疫算法、DNA计算的原理、模型、理论和典型应用,以及仿生硬件、仿生智能计算研究前沿与展望。附录给出了各章算法的程......一起来看看 《仿生智能计算》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具