-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-02-16
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
最近学校里上信息技术课,眼尖的我发现,咦?任务管理器,CMD打不开?这其中必有诈(而且一定是王炸 ),经过询问,老师并没有进行相关的设置,此时,D盘的某个文件引起了我的注意.文件名EveRar.exe,如此熟悉的前缀,怎么不能引起怀疑呢?再一看文件信息,产品名称winlog,原始文件名EXPL0RER.EXE(中间是数字"0"而不是"O"),文件版本192.168.0.001,我就知道这次学校电脑遇到麻烦了.没错,就是那不要*的货,叫EVE(或者叫WinLOG)的蠕虫病毒 之前遇到这个病毒,应该是2年前读初中的时候,班上电脑莫名出现任务管理器/CMD/Powershell闪退,文件管理器打开之后突然又闪退接着才打开,对异常情况及其敏感的我马上觉得不对劲?卧*这十有八九有病毒,果然,安装完火绒一扫果真扫出来,就是今天咱们要宰杀的这只"鸡"----WinLog蠕虫病毒.只可惜当时没给他备份一下,要不然我想看看是不是出自一个人之手(比如同一个CC服务器或者同一种代码风格什么的) 好了BB了这么多,开始正式分析,不对,还差几句:请注意:本次分析使用虚拟环境分析,普通用户切勿作死用自己电脑跑病毒给黑客送ROU鸡(要作我也拦不住)同时,请各位同行注意:此病毒有一定的感染性!会感染非系统盘EXE文件!切勿真机运行! OwO,那咱们开始吧分析使用环境:Windows Server 2012 R2(由于XX云不支持Windows7)上传文件到服务器,使用ExeinfoPE拔毛(查壳) 咱们先给这只鸡拔毛,确认是这只鸡属于未加壳VisualBasic程序的品种,于是咱们用VBD杀鸡(反编译)工具,得到源码既然得到了源码文件,那咱们就开始分析啦既然是鸡,必定也怕黄鼠狼.这只鸡(此病毒)会判断旁边是不是有黄鼠狼(此时是否开启下列窗口/进程)窗口名/类名包含: Wind (Windows工具) 注册表编(注册表编辑器,或包含regedi) 004035DCh(根据上下文判断应该是命令行程序,consol) 360杀毒(q360sa) twomcc(wopt,不知道啥东西)以及访问标题带有"查杀" "卡巴" "瑞星" "病毒" "360" "注册表" "隐藏" "金山" "修复" "专杀" "worm"的网页发现会自动杀掉黄鼠狼关闭相关代码: 然后接着往下看,Proc_0_9_406A40为鸡跑别人家鸡舍感染U盘程序鸡(病毒)先会给鸡舍搞一道机关写入autorun.inf,内容: 由此看出,病毒制作者还是猜透了人们的心(部分有防备心理的人会右键->资源管理器 来打开U盘)而且和之前几位病毒制作者相比(直接一个隐藏文件夹还改成病毒名字),这位老哥实在是很"良心"了,把存放病毒的文件夹直接改成了回收站标志,怕别人不认不出(绕晕的小伙伴,干脆给个提示:三重否定=否定,也就是认出)病毒文件夹(例子详见:https://wenku.baidu.com/view/7e0adcc28bd63186bcebbcd2.html)然后病毒会将本体复制到U盘/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}winlog.EXE同时,在main.frm 第227-262行中发现,此蠕虫病毒还会处理以下文件的打开:.ini .inf .chm .vbs .reg万能鸡? 同时,对于reg文件,病毒伪装成功(实际上直接没导入)来阻止通过注册表修复计算机,这种"良心"方式好像很少见? 搜索http,查找这只鸡的主人(C&C主机)的地址果不其然,找到两个(目前应该已被墙)位于00405DBC和0040605C主控C&C机位于mlmy.3322.org,目前访问提示连接被重置,但是我的香港机访问也显示 Connection reset by peer 怀疑是已挂 鸡主人去世,悼念两个文件:http://mlmy.3322.org/update.txt(疑似蠕虫配置,由于无法访问,暂时不能确定)http://mlmy.3322.org/qq.asp?ip=(疑似上报感染)经分析,此蠕虫病毒向远端C&C主机上报计算机名现在传播方式摸得差不多清楚了(除了一个通过Exe文件传播不太清楚,是在Getexe.bas中),那咱们来让有请臭名昭著的Payload部分隆重登场函数位置:main.frm / Proc_0_7_405D50程序先通过Proc_1_6_40B8D0方法访问http://mlmy.3322.org/update.txt获取罪恶之源(脚本),之后访问http://mlmy.3322.org/qq.asp?ip=向远端C&C服务器报告计算机名和所处的目录然后使用ShellExecute执行这段罪恶的脚本卧槽,这Payload这么简陋的么?还不够我撑起厚度的? 然后分析的差不多了,最后贡上反编译之后的源码和病毒原文件(原文件为了避免被杀和手贱乱点加了个disabled后缀,改回EXE即可,但是不改不影响逆向分析): WinLog样本.rar (15.06 KB, 下载次数: 9) 由于太小,直接传论坛,密码52pojie不想走论坛的走蓝奏:https://redstonefun.lanzous.com/iclrm2j由于时间关系&学业关系,只能分析这么多了,本人高中生能力有限,望各位大佬接着我的继续研究(包括如何感染的EXE文件)作者附言这个蠕虫病毒已经历史比较悠久了 (老母JI????) 我读初中的时候就在班级电脑发现了病毒,同时根据C&C服务器判断制作者应该是国人下节预告学校官网惊现挖矿病毒?这一切是**的**还是**的**?本人即将播出(如果发现了的话)好了不卖关子,的确是老师在学校防火墙里面看到网站服务器有解析挖矿服务器,so,等抓住了另一只鸡咱们给大家论坛解剖?IOCs: URL.1=http://mlmy.3322.org/update.txt URL.2=http://mlmy.3322.org/qq.asp?ip= MD5(WinLog.EXE)=f165b48f34d17777e433354c259f478b Location.1=C:/windows/System32/winlog.EXE Location.2=*(可移动介质):/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}/winlog.EXE中毒症状: 1.任务管理器,CMD等闪退 2.使用"此电脑"打开驱动器会闪退一次然后打开新窗口 3.出现WinLog.EXE进程 4.插入U盘后其中的程序会被感染(版本号变为192.168.0.1,原始文件名变为EXPLORER.EXE,程序名称变为winlog)
|
