一个DLL注入病毒分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2021-06-01

学无止境、道阻且长啊。继续分析病毒的旅程，这次是一个DLL注入病毒。病毒名称：bea213f1c932455aee8ff6fde346b1d1960d57ff样本MD5：6E4B0A001C493F0FCF8C5E9020958F38链接：https://pan.baidu.com/s/1zA8ZKZfCr1LjdLxWKlIf5Q提取码：fi7k一、基础行为分析1、病毒查壳无壳，也没有什么特殊信息，很正常的一个信息

2、加密算法含有大数运算

3、云沙箱分析使用微步云沙箱分析

二、主要行为分析通过火绒剑过滤进程行为，可以看到病毒释放了一个压缩包（g.zip）和一个dll文件（locale.dll），然后对资源管理器进行注入，最后自删除。

病毒执行完成后会访问某恶意网站，从而下载所需。由于该恶意网站已被查封，故无法访问成功

当然也可以使用fakenet模拟虚拟网络环境，这样可以更清楚的观察到病毒的操作流程

[Asm] 纯文本查看复制代码

?[tr=none]

1

2

3

http://www.kahusecurity.com/downloadsConverter_v0.14.7z

=750) window.open('http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg');\" style=\"max-width:750px;\" onload=\"if(this.offsetWidth>'750')this.width='750';\" >

三、恶意代码分析1、sub_402A10main函数首先获取进程相关联的控制台窗口句柄，以隐藏的方式运行。然后进入TraversalTerminateProcess函数，函数执行了三次，每次传入的数据都是检测工具的进程名，看到这个函数内部获取快照遍历进程，并出现TerminateProcess api函数，推测是检测是否存在检测工具并杀死检测工具进程。

给edx赋值路径

完成对路径C:UsersVicZAppDataLocalTempx.zip的拼接

在402B90处通过this指针传入一串混乱的字符串，并调用sub_402990函数进行解密

[Asm] 纯文本查看复制代码

?[tr=none]

1

2

7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tphthttp://www.kahusecurity.com/downloadsConverter_v0.14.7z

再往下还有一张图片待下载，同上还有对路径C:UsersVicZAppDataLocalTempg.zip的拼接

[Asm] 纯文本查看复制代码

?[tr=none]

1

2

3

# 该网址由于已被废弃，因此无法访问jp3.r-pepallway-wa-angyifls-owcrs/gema/iom.ceflierap/p:/tphtg

=750) window.open('http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg');\" style=\"max-width:750px;\" onload=\"if(this.offsetWidth>'750')this.width='750';\" >通过在线云沙箱可以拿到这个图片（原网址已不可访问，无法正常下载）

下面先设置文件属性，然后获取一串16进制数据

通过sub_401F00函数转化出ASCII码cmd.exe /C ping 127.0.0.1 && del

2、sub_402110用于判断文件是否下载成功

3、sub_402690该函数首先创建一个文件：C:windowssystem32locale.dll，获取缓冲区首地址，解密缓冲区内容为一个PE文件，将缓冲区内容写入到locale.dll文件中

循环解密部分

线程注入部分先将notepad.exe进程创建的时间设置为C:windowssystem32locale.dll创建的时间，然后远程线程注入explorer.exe

4、网址解密脚本

[Python] 纯文本查看复制代码

?[tr=none]

01

02

03

04

05

06

07

08

09

10

11

12

13

# python2# foxcookie.github.iostr1 = '7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht'str1 = str1[::-1]num = len(str1)list1 = list(str1)i = 0 for k in range(num/4): list1,list1[i+1],list1[i+2],list1[i+3] = list1[i+1],list1,list1[i+3],list1[i+2] i = i + 4str2 = ''.join(list1)print(str2)解密原理：逆序四位一组1 2换位、3 4换位5、locale.dll入口函数sub_1000162A函数用于获取时间信息sub_10001362函数StartAddress函数循环解密出http://d1picvugn75nio.cloudfront.net，然后调用浏览器访问sub_10001188函数，根据传入值判断返回何种结果传入值为1时传入值为2时传入值不为3时四、手动查杀木马1、删除cookies目录下生成的两个文件2、删除生成的注册表3、删除下载的文件4、删除C:windowssystem32locale.dll文件五、参考链接https://blog.csdn.net/weixin_44001905/article/details/98963175