-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-05-03
- 在线时间18416小时
-
- 发帖770593
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511651
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770593
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511651
- 信誉值
- 8
|
前几天在优盘上发现一病毒, 起意来简单分析一下行为观察病毒会感染插入的优盘,把优盘所有文件藏到一个命名为 alt+0160字符的隐藏文件夹里, 并创建一个dll 和 命名为VolumeIndexerGuid的加密shellcode 到这个隐藏文件夹里,最后在优盘根目录创建一个用于启动恶意dll及开启隐藏文件夹的shortcut,并将该shortcut的图标改为优盘图标。创建的dll文件的名字是由 _ . - 这三个字符生成,长65字符的随机组合,无后缀名。ida 静态分析把dll 文件在ida 里打开发现以下 7 项export一个一个打开检查发现主要逻辑都在 _7fLP 这第一个export里这里病毒用GetModuleFileName 获取自己的文件名, 就是上面说到长度65字符的那个,之后当成参数传到uwzjydwtstq这个function里跟到uwzjydwtstq 的里面,发现原来IndexerVolumeGuid也是病毒的一部分, 在这个function 里读取了IndexerVolumeGuid的内容,之后解密并运行shellcode跟进解密流程, 这里发现dll 的文件名不是单纯的乱码, 而是shellcode 的解密密钥, 第一张图是密钥阵列的初始化, 在第二张图里根据dll 文件名进行一系列的操作,最后在第三张图里对shellcode进行解密。解密出来的shellcode 不落硬盘,直接在内存解密运行,不过后面解密出来的二级shellcode技术有限实在看不懂。用ida 打开大概长这样 关于优盘怎么清理, 只要打开隐藏文件夹, 把里面的文件全部拖出来, 最后删除病毒相关文件即可。病毒样本: https://pan.baidu.com/s/1dunkUbqNqD5eAkrlygZm1A 提取码: mu5a
|