刚入行时分析的病毒重现

admin 2022年5月2日17:21:23程序逆向评论5 views1551字阅读5分10秒阅读模式

刚入行时分析的病毒重现

本文为看雪论坛优秀‍‍‍文章
看雪论坛作者ID:hacktu



背景


今天看见群里几个学生电脑中毒了,发一篇19年该病毒的分析报告,没有技术可言,自己现在看感觉当时好像做了分析报告,但是好像啥都没写。

一个是学校通知的文档带下去的,估计是发通知的人电脑中招了(学校一般不会发送带宏的文件,大家开宏还是谨慎一点吧)。

刚入行时分析的病毒重现

跟他说了之后他去看了学校官网,发现全是这类木马了。
刚入行时分析的病毒重现

另一个是公众号下载的某盘下载器带的木马。
刚入行时分析的病毒重现


执行流程


刚入行时分析的病毒重现


详细分析


还原程序


从EXERESX资源段获取信息:

刚入行时分析的病毒重现

读入到新建立文件:

刚入行时分析的病毒重现

执行文件:

刚入行时分析的病毒重现


释放病毒


首次运行


(1)判断指定目录下是否存在病毒。
刚入行时分析的病毒重现
 
(2)没有文件则设置缓存路径和文件,并且配置ini文件。
刚入行时分析的病毒重现
 
设置缓存路径及文件如下:
刚入行时分析的病毒重现

配置ini文件提取内容及服务器和下载文件地址。

刚入行时分析的病毒重现
 
邮箱配置如下:
刚入行时分析的病毒重现
感染文件和记录信息启动配置:
刚入行时分析的病毒重现

 (3)设置自启动。

A.释放病毒
刚入行时分析的病毒重现
B.设置自启动
刚入行时分析的病毒重现

(4)是首次运行则执行病毒。
刚入行时分析的病毒重现


病毒执行(二次运行)


文件信息

sha256:
11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748

md5:
21DE97CF684A5D7D3197A75D0F11FFA2

sha1:
5340788DB50BC7B26D22DC48D0D24D91AA824551

文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]

文件大小 771584 字节(753 KB)

壳信息 无壳

文件描述 Synaptics Pointing Device Driver
 
(1) 感染exe文件

获取目录查找exe文件:
刚入行时分析的病毒重现
设置感染标志(根据是否含有资源段EXERESX判断是否被感染):
刚入行时分析的病毒重现
感染文件(在临时目录生成文件,将原文件作为资源段打包):
刚入行时分析的病毒重现

(2)感染xlsx文件

查找xlsx文件:
刚入行时分析的病毒重现
建立感染标记(根据文件是否含有XLSX资源段判断是否被感染):
刚入行时分析的病毒重现
释放宏(在临时目录建立随机文件,将资源段XLSX资源段释放):
刚入行时分析的病毒重现
感染文件(设置宏,并复制病毒到文件~$cache1):
刚入行时分析的病毒重现
宏文件功能就是恢复原文件并且启动病毒,再将宏清除:
刚入行时分析的病毒重现

(3)建立线程497CF0自动更新病毒版本(联网失败之后无法动态跟进,后面为静态分析)

A.在临时目录生成随机exe和ini文件
刚入行时分析的病毒重现
B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行
刚入行时分析的病毒重现

(4)配置server并且建立线程Start Address连接
刚入行时分析的病毒重现

(5)设置设备和目录监视,记录文件操作
刚入行时分析的病毒重现

(6)设置USB和键盘Hook,将信息记录到缓存路径下新建目录WS下
加载Hook的DLL:
刚入行时分析的病毒重现
设置Hook启动和取消:
刚入行时分析的病毒重现
刚入行时分析的病毒重现
记录到文件:
刚入行时分析的病毒重现

(7)建立线程传输文件到指定邮箱
刚入行时分析的病毒重现

总结

程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件,并且在被运行时释放原程序并设置隐藏,让原文件能够正常启动,掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件,当启用宏时病毒也会被运行,是较为少见的感染方式。

最后病毒通过自身的DLL设置Hook记录用户敏感信息,并且建立线程联网可以进行自动更新,下载其他病毒文件,并且获取用户的信息发送到自己的邮箱。



刚入行时分析的病毒重现


看雪ID:hacktu

https://bbs.pediy.com/user-home-940482.htm

*本文由看雪论坛 hacktu 原创,转载请注明来自看雪社区


刚入行时分析的病毒重现


# 往期推荐

1.记一次新型变种QakBot木马分析

2.[VNCTF2022]InterestingPHP复现

3.分析一道简单安卓中级题

4.由浅入深理解Kerberos协议

5.虎符网络安全赛道 2022-pwn-vdq-WP解题分析

6.为IDA架设私人lumen服务器



刚入行时分析的病毒重现



刚入行时分析的病毒重现

球分享

刚入行时分析的病毒重现

球点赞

刚入行时分析的病毒重现

球在看



刚入行时分析的病毒重现

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):刚入行时分析的病毒重现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月2日17:21:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  刚入行时分析的病毒重现 http://cn-sec.com/archives/968106.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: