-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-09-12
- 在线时间19092小时
-
- 发帖825971
- 搜Ta的帖子
- 精华0
- 飞翔币219136
- 威望215837
- 飞扬币2840438
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 825971
- 飞翔币
- 219136
- 威望
- 215837
- 飞扬币
- 2840438
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "][md]样本名|b.exe[font=-apple-system, BlinkMacSystemFont, "]|-|-|[font=-apple-system, BlinkMacSystemFont, "]SHA256|5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5[font=-apple-system, BlinkMacSystemFont, "]MD5|5b8bc92296c2fa60fecc6316ad73f1e2[font=-apple-system, BlinkMacSystemFont, "]SHA1|44b95162f85b81e71e5f2e7abbc904a6339ce0aa[font=-apple-system, BlinkMacSystemFont, "]读了几年前大佬的分析文章,下载下来详细分析了一下,大佬文章链接:https://www.52pojie.cn/thread-1065060-1-12.html [font=-apple-system, BlinkMacSystemFont, "]## 对抗行为:[font=-apple-system, BlinkMacSystemFont, "]- UPX加壳[font=-apple-system, BlinkMacSystemFont, "]- `loadLibraryA`动态调用[font=-apple-system, BlinkMacSystemFont, "]- 病毒本身只执行创建服务和启动服务的操作[font=-apple-system, BlinkMacSystemFont, "]- 执行完后删除自身代码[font=-apple-system, BlinkMacSystemFont, "]- 服务的相关代码无限循环保证一直执行[font=-apple-system, BlinkMacSystemFont, "]- 创建互斥体避免重复运行[font=-apple-system, BlinkMacSystemFont, "]## 行为特征 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1.`WSAStartup`初始化套接字[font=-apple-system, BlinkMacSystemFont, "]2.查询注册表项`HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices15654656`,若存在则启动服务,若不存在则执行自身逻辑。[font=-apple-system, BlinkMacSystemFont, "]3.服务不存在,执行自身逻辑:[font=-apple-system, BlinkMacSystemFont, "]- 将自身复制到系统目录:`GetModuleFileNameA`获取当前进程路径,`GetWindowsDirectoryA`获取系统路径,`strncmp`比较当前是否在系统目录,如果不在,根据时间戳生成随机字符串作为文件名并拼接后缀`.exe`,释放到系统目录`C:Windows`下[font=-apple-system, BlinkMacSystemFont, "]- 将全局变量`dword_409638`设为`1`表示复制完成,避免重复。[font=-apple-system, BlinkMacSystemFont, "]- 调用`advapi32.dll`的多个函数,请求最高权限创建服务,名称为`15654656`,显示名为`456876`,权限所有,类型设置为`内核模式驱动`,路径指向系统目录下的复制的恶意文件。然后调用`StartServiceA`启动服务。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]- 获取自身路径并转换为短路径,获取一个环境变量`COMSPEC`,调用cmd静默删除自身文件内容`cmd.exe /c del 自身短路径 > nul`,但这个命令优先级设置为空闲状态运行,以保证自身的逻辑可以执行完。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]4.服务存在,执行恶意逻辑:[font=-apple-system, BlinkMacSystemFont, "]- 无限循环执行,保证一直运行[font=-apple-system, BlinkMacSystemFont, "]- 创建互斥体,避免重复运行[font=-apple-system, BlinkMacSystemFont, "]- 枚举`RT_RCDATA`类型的资源,写入当前工作目录下的`hra33.dll`,由于已经启动服务运行的是复制到`C:Windows`的病毒文件,因此这个dll也写入该目录。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]- 创建两个一模一样的线程: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]检查当前时间是否超过`20130221`,如果是则创建一个线程,无限循环执行:创建TCP连接到`aa.re67das.com:9533`, [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]读取系统版本号、CPU核心数量、物理内存大小、网络适配器速度以及系统已运行时间打包成数据包发送。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]如果send返回值不是-1,则接收返回数据,先接收8字节数据头,再根据数据头循环接收指定长度的数据。指令类型分为8种:[font=-apple-system, BlinkMacSystemFont, "] - 0x10:接收一个URL,从这个URL下载文件到临时目录,并用时间戳命名。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 0x12:接收一个URL,下载新的病毒程序并执行,同时清除自身病毒程序的痕迹:停止服务、删除注册表、删除文件、关闭网络连接。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 0x14:启动iexplore.exe打开接收的URL。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 十进制2:读取新配置,应用新配置[font=-apple-system, BlinkMacSystemFont, "] - 十进制3:接收任务配置值(类型、次数),创建线程执行指定类型任务,这里又对应4种类型: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 类型5:get请求`aa.re67das.com:8080`;[font=-apple-system, BlinkMacSystemFont, "] - 类型6:大量创建`iexplore.exe`进程掩盖访问恶意网站的`iexplore.exe`进程;[font=-apple-system, BlinkMacSystemFont, "] - 类型7:发送大量无效请求干扰分析;[font=-apple-system, BlinkMacSystemFont, "] - 类型8:发送5ms间隔的高频http请求;[font=-apple-system, BlinkMacSystemFont, "] - 十进制4:创建线程,通过TCP或UDP像接收到的地址发送大量垃圾数据 [font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 十进制5:设置全局标志位为1,所有正在进行的操作读取到这个标志位后立即停止 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] - 十进制6:清除自身病毒程序的痕迹:停止服务、删除注册表、删除文件、关闭网络连接
|
