U盘病毒分析——IDA响应分析 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786294

飞翔币: 209891

威望: 215717

飞扬币: 2613068

信誉值: 8

只看楼主更多操作 0 发表于: 2022-11-25

分析响应过程（[font=-apple-system, BlinkMacSystemFont, &quot]IDA分析）在[font=-apple-system, BlinkMacSystemFont, &quot]IDA 中左边栏搜索关键字[font=-apple-system, BlinkMacSystemFont, &quot]“timer”，获得四个响应过程

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]1. 响应[font=-apple-system, BlinkMacSystemFont, &quot]_TForm1_Timer1Timer[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]

[font=-apple-system, BlinkMacSystemFont, &quot]进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EF94()分析函数功能

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]1.1 进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_4[font=-apple-system, BlinkMacSystemFont, &quot]4E9FC(&v12,a1)分析函数功能如下图的[font=-apple-system, BlinkMacSystemFont, &quot]while循环中可知此函数的作用是遍历目录文件

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]1.2 进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EEBC(v11)分析函数功能

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]1.2.1 进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EAA4(v10,(int)&v11)分析函数功能如下图所示，函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EAA4(v10,(int)&v11)先通过[font=-apple-system, BlinkMacSystemFont, &quot]FindFirst查找到第一个符合要求的文件，并记录其创建时间[font=-apple-system, BlinkMacSystemFont, &quot]FatTime，然后根据创建时间找到所有此创建时间下的所有文件。

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]1.2.2 进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EC88((int)v12, v9)分析函数功能此函数通过循环修改所有通过函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44EAA4(v10,(int)&v11)找到的文件的文件属性，将文件隐藏。通过[font=-apple-system, BlinkMacSystemFont, &quot]CopyFileA函数拷贝病毒文件，[font=-apple-system, BlinkMacSystemFont, &quot]CopyFileA函数的第二个参数[font=-apple-system, BlinkMacSystemFont, &quot]v11为隐藏掉的文件名称，将其病毒文件名设置为[font=-apple-system, BlinkMacSystemFont, &quot]v11即隐藏掉的文件名，最后将病毒文件伪装成文件夹。[font=-apple-system, BlinkMacSystemFont, &quot]CopyFileA函数的第三个参数[font=-apple-system, BlinkMacSystemFont, &quot]v12恒为[font=-apple-system, BlinkMacSystemFont, &quot]-1即[font=-apple-system, BlinkMacSystemFont, &quot]True，表示若拷贝过去的文件路径下已存在相同文件，则不替换文件。[font=-apple-system, BlinkMacSystemFont, &quot]

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]2. 响应[font=-apple-system, BlinkMacSystemFont, &quot]_TForm1_Timer2Timer[font=-apple-system, BlinkMacSystemFont, &quot]v15为获取的系统时间的[font=-apple-system, BlinkMacSystemFont, &quot]day，判断若系统时间年份大于[font=-apple-system, BlinkMacSystemFont, &quot]2009，且日期[font=-apple-system, BlinkMacSystemFont, &quot]day为[font=-apple-system, BlinkMacSystemFont, &quot]1、[font=-apple-system, BlinkMacSystemFont, &quot]10、[font=-apple-system, BlinkMacSystemFont, &quot]21、[font=-apple-system, BlinkMacSystemFont, &quot]29则触发感染事件，执行[font=-apple-system, BlinkMacSystemFont, &quot]sub_447F078函数。

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]3. 响应[font=-apple-system, BlinkMacSystemFont, &quot]_TForm1_Timer3Timer

[font=-apple-system, BlinkMacSystemFont, &quot]进入函数[font=-apple-system, BlinkMacSystemFont, &quot]sub_44F3A0(v2,v3,v4)分析函数功能如下图所示，发现其主要功能为修改注册表

[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]4. 响应[font=-apple-system, BlinkMacSystemFont, &quot]_TForm1_Timer3Timer如下图，步骤[font=-apple-system, BlinkMacSystemFont, &quot]1中找到内存中[font=-apple-system, BlinkMacSystemFont, &quot]exefile文件并[font=-apple-system, BlinkMacSystemFont, &quot]free掉，然后通过[font=-apple-system, BlinkMacSystemFont, &quot]ShellExecuteA调用[font=-apple-system, BlinkMacSystemFont, &quot] nasm.exe程序。