刚入行时分析的病毒重现
2022-5-1 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:22 收藏


本文为看雪论坛优秀文章
看雪论坛作者ID:hacktu

背景

今天看见群里几个学生电脑中毒了,发一篇19年该病毒的分析报告,没有技术可言,自己现在看感觉当时好像做了分析报告,但是好像啥都没写。
一个是学校通知的文档带下去的,估计是发通知的人电脑中招了(学校一般不会发送带宏的文件,大家开宏还是谨慎一点吧)。


跟他说了之后他去看了学校官网,发现全是这类木马了。

另一个是公众号下载的某盘下载器带的木马。

执行流程

详细分析

还原程序

从EXERESX资源段获取信息:

读入到新建立文件:

执行文件:

释放病毒

首次运行

(1)判断指定目录下是否存在病毒。
 
(2)没有文件则设置缓存路径和文件,并且配置ini文件。
 
设置缓存路径及文件如下:
配置ini文件提取内容及服务器和下载文件地址。
 
邮箱配置如下:
感染文件和记录信息启动配置:
 (3)设置自启动。
A.释放病毒

B.设置自启动

(4)是首次运行则执行病毒。

病毒执行(二次运行)

文件信息
sha256:
11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748
md5:
21DE97CF684A5D7D3197A75D0F11FFA2
sha1:
5340788DB50BC7B26D22DC48D0D24D91AA824551
文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]
文件大小 771584 字节(753 KB)
壳信息 无壳
文件描述 Synaptics Pointing Device Driver
 
(1) 感染exe文件
获取目录查找exe文件:

设置感染标志(根据是否含有资源段EXERESX判断是否被感染):

感染文件(在临时目录生成文件,将原文件作为资源段打包):


(2)感染xlsx文件
查找xlsx文件:

建立感染标记(根据文件是否含有XLSX资源段判断是否被感染):

释放宏(在临时目录建立随机文件,将资源段XLSX资源段释放):

感染文件(设置宏,并复制病毒到文件~$cache1):

宏文件功能就是恢复原文件并且启动病毒,再将宏清除:

(3)建立线程497CF0自动更新病毒版本(联网失败之后无法动态跟进,后面为静态分析)
A.在临时目录生成随机exe和ini文件

B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行

(4)配置server并且建立线程Start Address连接

(5)设置设备和目录监视,记录文件操作

(6)设置USB和键盘Hook,将信息记录到缓存路径下新建目录WS下
加载Hook的DLL:

设置Hook启动和取消:


记录到文件:

(7)建立线程传输文件到指定邮箱


总结
程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件,并且在被运行时释放原程序并设置隐藏,让原文件能够正常启动,掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件,当启用宏时病毒也会被运行,是较为少见的感染方式。
最后病毒通过自身的DLL设置Hook记录用户敏感信息,并且建立线程联网可以进行自动更新,下载其他病毒文件,并且获取用户的信息发送到自己的邮箱。

看雪ID:hacktu

https://bbs.pediy.com/user-home-940482.htm

*本文由看雪论坛 hacktu 原创,转载请注明来自看雪社区

# 往期推荐

1.记一次新型变种QakBot木马分析

2.[VNCTF2022]InterestingPHP复现

3.分析一道简单安卓中级题

4.由浅入深理解Kerberos协议

5.虎符网络安全赛道 2022-pwn-vdq-WP解题分析

6.为IDA架设私人lumen服务器

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458441122&idx=1&sn=7e261bf33519d245ed4750a4152c9645&chksm=b18fe52886f86c3ece160388bbe120d7550e11ee9aa80ee1ac0aa29455d471e8d2d403c6304c#rd
如有侵权请联系:admin#unsafe.sh