WannaMine4.0病毒主程序分析

admin
admin
admin
102369
文章
87
评论
2020年11月30日11:44:14评论134 views字数 1860阅读6分12秒阅读模式
WannaMine4.0病毒主程序分析

本文为看雪论优秀文章

看雪论坛作者ID:WPeace





1. 样本概况



1.1 样本信息


病毒名称:WannaMine4.0
所属家族:木马蠕虫
大小6690304 bytes
MD5
0649FBF33EC2CECC3B42A6C98ABA09C6
SHA1
B903F4B0B5BA87B6A2FCAEC453E361EE2DF2CB92
CRC329C4B2608
编写语言:Microsoft Visual C++ 8
 

1.2 测试环境及工具


测试系统:VM15.0下32位win7
测试工具:PEID、ProcMon、火绒剑、PCHunter、IDA、OllyDbg等
 

1.3 分析目标


1)分析恶意代码
2)总结行为流程




2. 恶意代码分析



2.1 基本信息


① 使用PEID查看文件基本信息,分析是否有壳,如果有壳则进行脱壳:
WannaMine4.0病毒主程序分析
发现此程序无壳,使用Microsoft Visual C++ 8编写。
 
② 使用火绒剑查看文件大致行为:

1. 文件行为

创建并写入了两个文件:
WannaMine4.0病毒主程序分析
2. 注册表行为

设置、创建注册表:
    
WannaMine4.0病毒主程序分析
    
3. 进程行为

创建进程:    
WannaMine4.0病毒主程序分析
创建了异常CPU占用的进程,值得注意的是,这个进程用Windows自带的任务管理器查看时会降低其CPU占用率避免被发现,用ProcessExplorer可以看到:
WannaMine4.0病毒主程序分析
4. 网络行为

网络连接行为:    
WannaMine4.0病毒主程序分析

2.2 详细分析


使用IDA与OD对病毒进行详细分析。

2.2.1 病毒文件分析


① 此病毒首先创建了一个互斥体:
WannaMine4.0病毒主程序分析
② 创建互斥体成功后,经过分析可以发现第一个函数Sub_404FF0作用是判断病毒是否是第一次运行,并且进行一个注册表的创建,随机生成一个服务名:
WannaMine4.0病毒主程序分析
Sub_404FF0函数具体分析如下:
首先尝试打开注册表(判断病毒是否是第一次运行):
WannaMine4.0病毒主程序分析
如果是第一次运行则调用函数Sub_404880生成一个随机的服务名,在系统文件夹system32中生成一个"随机服务名.dll"文件,然后创建此注册表:    
WannaMine4.0病毒主程序分析
Sub_404880函数具体分析如下:
WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析
WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析

如果不是第一次运行,则查询病毒服务当前运行状态:

WannaMine4.0病毒主程序分析
③ 删除系统目录下的病毒生成的随机名称的两个文件,猜测是为了防止之后写文件出问题:
WannaMine4.0病毒主程序分析
④ 载入资源,将资源内容写入文件"C:Windowssystem32随机六个字母.随机三个字母":
WannaMine4.0病毒主程序分析
Sub_405390函数具体操作如下:

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

对文件写内容的函数Func_WriteFile的分析如下:
WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析
⑤ 对病毒生成的两个随机名称文件进行操作:
WannaMine4.0病毒主程序分析
Sub_4054F0具体操作如下:
先有个函数Sub_403F80判断之前资源内容写入是否成功
WannaMine4.0病毒主程序分析
Sub_403F90函数的分析如下:
WannaMine4.0病毒主程序分析
WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

然后对"随机服务名.dll"进行写入:
WannaMine4.0病毒主程序分析
⑥ 对svchost.exe的时间进行了设置:
WannaMine4.0病毒主程序分析
Func_SetSvchostTime函数的具体分析如下:

WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

⑦ 对注册表、服务进行了操作:
WannaMine4.0病毒主程序分析
Sub_406110的具体分析如下:
首先调用一个函数Sub_405F40创建了dll的病毒服务和注册表:
WannaMine4.0病毒主程序分析
Sub_405F40函数的具体分析如下:

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析
然后启动病毒的恶意服务,此时恶意进程dllhostex被创建, 所以"随机服务名.dll"文件是存在恶意行为的,这里我们分析主程序暂时不分析此文件:
WannaMine4.0病毒主程序分析
⑧ 查询启动的恶意服务的当前状态:
WannaMine4.0病毒主程序分析
Sub_4041E0函数的具体分析如下:

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

⑨ 进行网络操作:
WannaMine4.0病毒主程序分析
Sub_4058E0函数具体分析如下:

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

得到恶意IP和端口后调用恶意网络行为的函数:
WannaMine4.0病毒主程序分析
恶意网络行为函数Sub_405720函数具体分析如下:

WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析
WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析

⑩ 最后调用一个函数删除了原病毒程序:
WannaMine4.0病毒主程序分析
Func_DeleteVir函数具体分析如下:

WannaMine4.0病毒主程序分析WannaMine4.0病毒主程序分析

WannaMine4.0病毒主程序分析




3. 行为流程总结


   WannaMine4.0病毒主程序分析


WannaMine4.0病毒主程序分析

- End -


WannaMine4.0病毒主程序分析


看雪ID:WPeace

https://bbs.pediy.com/user-home-906228.htm

  *本文由看雪论坛 WPeace 原创,转载请注明来自看雪社区。


好消息!!现在看雪《安卓高级研修班》线下班 & 网课(12月班)开始同步招生啦!以前没报上高研班的小伙伴赶快抓紧机会报名,升职加薪唾手可得!!


WannaMine4.0病毒主程序分析


推荐文章++++

WannaMine4.0病毒主程序分析

* Frida和Xposed打印init_array的字符串解密函数

* Frida配合BurpSuite的Brida插件自动解密取证

* 利用Xposed对ollvm后的so中flag爆破

* Windows内存篇Ⅱ x64内核内存布局的迁移演变

* Linux kernel pwn:ROP & ret2usr







WannaMine4.0病毒主程序分析
公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]



WannaMine4.0病毒主程序分析

求分享

WannaMine4.0病毒主程序分析

求点赞

WannaMine4.0病毒主程序分析

求在看


WannaMine4.0病毒主程序分析
“阅读原文一起来充电吧!

本文始发于微信公众号(看雪学院):WannaMine4.0病毒主程序分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月30日11:44:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WannaMine4.0病毒主程序分析http://cn-sec.com/archives/191861.html

发表评论

匿名网友 填写信息