刚入行时分析的病毒重现

本文为看雪论坛优秀‍‍‍文章
看雪论坛作者ID：hacktu

背景

今天看见群里几个学生电脑中毒了，发一篇19年该病毒的分析报告，没有技术可言，自己现在看感觉当时好像做了分析报告，但是好像啥都没写。

一个是学校通知的文档带下去的，估计是发通知的人电脑中招了（学校一般不会发送带宏的文件，大家开宏还是谨慎一点吧）。

跟他说了之后他去看了学校官网，发现全是这类木马了。

另一个是公众号下载的某盘下载器带的木马。

执行流程

详细分析

还原程序

释放病毒

(1)判断指定目录下是否存在病毒。

 

(2)没有文件则设置缓存路径和文件，并且配置ini文件。

 

设置缓存路径及文件如下：

配置ini文件提取内容及服务器和下载文件地址。

 

邮箱配置如下：

感染文件和记录信息启动配置：

 (3)设置自启动。

A.释放病毒

B.设置自启动

(4)是首次运行则执行病毒。

病毒执行（二次运行）

文件信息

sha256：
11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748

md5：
21DE97CF684A5D7D3197A75D0F11FFA2

sha1：
5340788DB50BC7B26D22DC48D0D24D91AA824551

文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]

文件大小 771584 字节(753 KB)

壳信息 无壳

文件描述 Synaptics Pointing Device Driver

 

(1) 感染exe文件

获取目录查找exe文件：

设置感染标志（根据是否含有资源段EXERESX判断是否被感染）：

感染文件（在临时目录生成文件，将原文件作为资源段打包）：

(2)感染xlsx文件

查找xlsx文件：

建立感染标记（根据文件是否含有XLSX资源段判断是否被感染）：

释放宏（在临时目录建立随机文件，将资源段XLSX资源段释放）：

感染文件（设置宏，并复制病毒到文件~$cache1）：

宏文件功能就是恢复原文件并且启动病毒，再将宏清除：

(3)建立线程497CF0自动更新病毒版本（联网失败之后无法动态跟进，后面为静态分析）

A.在临时目录生成随机exe和ini文件

B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行

(4)配置server并且建立线程Start Address连接

(5)设置设备和目录监视，记录文件操作

(6)设置USB和键盘Hook，将信息记录到缓存路径下新建目录WS下
加载Hook的DLL:

设置Hook启动和取消：


记录到文件：

(7)建立线程传输文件到指定邮箱

总结

程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件，并且在被运行时释放原程序并设置隐藏，让原文件能够正常启动，掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件，当启用宏时病毒也会被运行，是较为少见的感染方式。

最后病毒通过自身的DLL设置Hook记录用户敏感信息，并且建立线程联网可以进行自动更新，下载其他病毒文件，并且获取用户的信息发送到自己的邮箱。

看雪ID：hacktu

https://bbs.pediy.com/user-home-940482.htm

*本文由看雪论坛 hacktu 原创，转载请注明来自看雪社区

# 往期推荐

1.记一次新型变种QakBot木马分析

2.[VNCTF2022]InterestingPHP复现

3.分析一道简单安卓中级题

4.由浅入深理解Kerberos协议

5.虎符网络安全赛道 2022-pwn-vdq-WP解题分析

6.为IDA架设私人lumen服务器

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

原文始发于微信公众号（看雪学苑）：刚入行时分析的病毒重现