0x01 程序查壳
病毒文件为:2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe
exe格式的文件是个windows可执行文件,检查是否加壳进行保护
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Nullsoft PiMP SFX] *通过PEID可知该信息说明没有加壳,作者加了花指令,伪装成有壳的保护,那么可以直接使用IDA进行逆向分析,分析之后暂未有用信息。
0x02 文件行为分析(2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe)
这里使用火绒剑进行文件行为检测。当该程序运行后,首先先进行网络连接IP:134.122.184.48:8000
通过对该程序的网络连接以及流量抓包可知,该程序下载了5个文件
http://134.122.184.48:8000/1http://134.122.184.48:8000/2http://134.122.184.48:8000/3http://134.122.184.48:8000/4http://134.122.184.48:8000/j-23
下载完成后分别落地文件为:
IpVCgS.exeIpVCgS.datedge.xmledge.jpge551S.exee551S.dat
其中exe(有数字签名绕过杀毒软件)和.dat使用同一个随机名称,所有文件保存到C:UsersPublicDocuments9lTWWRqSn目录下,注意一下,每次运行其实会在不同的目录下,但是都属于public目录,里面有视频,文档这些文件夹随机存放。两个exe和dat均为同一种文件,可能是作者怕没落地,所以多下载了一次
经过分析,监控到该程序的所有操作仅为下载exe程序和文件并运行。因此,该文件:2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe 为木马释放器,并非为直接木马。
0x03 IpVCgS.exe分析
查壳可知使用UPX进行加壳
一键脱壳
脱壳之后拖入ida或od进行动静态分析,然后使用字符串搜索,搜到一个类似于密钥的数字字母字符串
99B2328D3FDF4E9E98559B4414F7ACB9
0x04 IpVCgS.dat分析
通过对文件头分析,50 4b 03 04是一个zip压缩包格式
后缀改成zip后解压,发现需要解压密码,根据exe逆向出来的密钥填进去,解压成功
解压成功后得到6个文件
使用记事本打开_TUProj.dat,开头是一段病毒脚本。
不过那个dat的shellcode看不懂是做啥的,就没办法弄下去了
0x05 edge.xml分析
这个XML看文件头应该是PE结构的可执行程序
通过静态分析,病毒运行后首先会检测360程序,有360程序就会进行弹框,并退出程序执行。
0x06 病毒总结
这里大概讲下思路,因为那个木马exe静态分析没分析出来(好像是又变异了一次),也是根据看雪大佬(求大佬下次能不能写的详细一点,文章好跳啊)写的文章思路去分析的。首先运行2023年12月新发布-财会人员薪资补贴调整新政策所需材料.exe程序进行释放,从IP地址134.122.184.48下载四个文件,这四个文件都是木马所需要的文件,然后先检测是否有360杀毒软件,没有就继续,随机名称的exe对dat进行解密,dat里面应该是个修复XML脚本,XML实际上是个PE结构的可执行程序,修复XML后会向系统添加计划任务定期启动exe。随机名称的exe继续解密jpg文件,jpg里面包含了dll文件,dll文件是个远控木马,dll里面又很多远控功能,包括设置隐藏文件、反分析检测、下载文件释放到指定目录、按键监控、设置持久化、更新远控地址、获取QQ号、截图收集系统信息等。因为那个exe用静态分析真的没找出来,是不是我漏掉了哪个步骤(应该是shellcode没解密出来)还是木马变异了。。
这是计划任务(exe是随机的名字,我是恢复快照后重新运行的,所以名字也就不一样)
程序最后会连接一个IP地址,应该是属于病毒远控端的IP:134.122.184.48:7700
求大佬们帮忙分析一下,微信私聊我获得病毒样本
原文始发于微信公众号(暗魂攻防实验室):记一次银狐病毒样本简单分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论