[专栏] 对于感染性病毒的分析

[复制链接]
查看: 797|回复: 3

3

主题

3

帖子

32

积分

文库官方

Rank: 7Rank: 7Rank: 7

积分
32
发表于 2017-3-15 19:54:15 | 显示全部楼层 |阅读模式
分析文章
听我一位在实习的师哥说,他们公司好像是中了一种局域网感染式的病毒,我就问他拿了样本。拿到时是一个新建文件夹,内容为空,如图:
1.png

玩过病毒的都知道,肯定是隐藏为系统文件,防止被发现,既然这样就显示它。
图: 2.png


首先先查壳: 3.png
一看是upx的壳子,这个壳子可以用ESP定律去脱,当然最简单快捷的就是脱壳机。
身为经常玩逆向的我,直接带壳分析,先载入OD,运行之后发现系统盘里面多了
这几个文件,看格式的话应该都是隐藏文件。
4.png
我们现在第一个ret处下断,之后运行:
5.png

发现EAX中存放有大量的数据,我们查看数据窗口:
6.png
发现都是乱码,但病毒只是运行到就结束了,这之中肯定有PY交易,于是想到了,这样就返回了,ESP肯定会有变化的,果不其然,在ESP上显示为红色:
7.png
既然变化了,在ESI中肯定会有猫腻,就从ESI中开始搞它,右键点击ESI堆栈数据查看:
8.png
右下键在堆栈数据中反汇编窗口中跟随查看:
9.png
于是来到了:
10.png
看着那么多CALL是不是有猫腻,二话不说先在return处下断点,(第一个return处记得要删除)之后开始运行,发现在这断下了:
11.png

在看看右边的寄存器窗口,有没有发现什么,哇,都是姨妈红
12.png

一般在寄存器中,EBP都是用来存放数据的,这时候我们查看:
13.png

发现了什么,window shell,在继续向下运行,就会在C盘中释放那么几个文件了,这样就好办啦,说明问题肯定出现在这return之上,我们找到这段return的头部,下断点,我们再重新调试
14.png
发现断在了这个return的开头,但没有释放文件,我们单步慢慢分析,单步往下走
15.png
这里都是对一些东西赋值:例:int n=0;(因为EDX此处都为0)
看到这里有一个CALL跟进去看看,一直单步走,到此,发现堆栈中有ASCII码
16.png

不难看出现实了这个病毒的版本,还有编码,之后的这个CALL我们不必分析,因为我们知道这个CALL只是显示了这些信息。再返回到我们之前没有进CALL之前,发现这里有猫腻,这里既然在进行着一个比较
17.png
继续单步向下走
18.png
发现这个跳转是实现的,而且还是跳过了那么多的函数,我们试试让它不跳转试试看,我们把此处NOP掉让它执行下面的代码会怎么样,我们向下单步执行之后发现在7C814437处竟然有一个跳转,按照以往的经验,这个跳转应该是跳回来循环某些东西,我们追过去看看。
19.png
可以看到是来自7C845EAC处,我们跟下去看看
20.png
在它的上面我们发现了什么,那不是之前我们看到的调用函数的名称吗?既然这里那么有用,我们再网上翻,发现了这里有那么多处跳转,那这里应该是循环的地方
21.png
在翻的过程中我发现了,这里竟然调用了很多的API,其中最重要的还是这个函数
22.png
有点基础的人都会知道这个是移动,既然是移动的话我们就跟进去看看
进去之后我们在55处下个断,然后在调试
23.png
调试过程之中发现有很多这个函数的调用
24.png
25.png
当你看到这张图的时候,你是不是看得出有注册表这个电脑专用语了
26.png
调用GDI32.dll
27.png
调用USER32.dll  以下由于太多不一一介绍
28.png
29.png

这些都是关于系统的一些dll
既然我们自己它调用这些了,我们还是返回之前的断点来分析它
30.png
在这里发现了一个函数,在它的上面还发现了与一些值作比较,在上面任意一个位置下断,然后单步到这里分析:
31.png
进入之后单步一直下去发现
32.png
这里有一个跳转,我们再跟过去看看
33.png
这里既然是判断的点在回到之前的地方,单步往下走,发现
34.png
这个地方应该是判断什么字母回到原来的地方继续往下走,直到走完return,发现这里有一个循环的地方
35.png
按照以往的经验来说,它应该是在循环判断一个字符,当这个字符变换的时候就会释放病毒文件
36.png
在return之前有是重新遍历了一个C盘中的系统文件,到此return的时候已经遍历完成,字符也改变完成,之后再继续执行以上的步骤,直到最后释放病毒文件,既然是局域网病毒的话,应该会传染,个人认为,那个师哥应该是服务器收到了感染。此病毒可以使用目前市场上主流的杀毒软件可以完全将其查杀。
分析人:AhRMo
2017315

36.png

点评

支持楼主、支持原创: 5.0
支持楼主、支持原创: 5
分析的很透彻 可以的   发表于 2017-3-15 20:47
回复 印象

使用道具 举报

3

主题

5

帖子

363

积分

文库-见习白帽

文库的带头大哥

Rank: 3Rank: 3

积分
363
QQ
发表于 2017-3-16 15:59:42 | 显示全部楼层
分析的很透彻让我感觉很厉害
我不生产粮食,我只是粮食的搅拌机
回复 印象

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩图文
在线客服(工作时间:9:00-22:00)
400-600-6565
安全文库公众号

Copyright   ©2015-2016  安全文库应急响应中心  Powered by©上海盾客网络科技有限公司  技术支持:安全文库    ( 闽ICP备15007866号-2 )