目录

0x01 程序信息

0x02 程序行为

0x03 分析思路

0x04 初始工作

0x05 病毒母体分析

0x06 病毒子体分析

0x07 分析解密部分

0x08 核心加密代码分析

0x09 进程检测函数分析

病毒名: lantern installer.exe

Size: 4,272,640 字节

壳: UPX 0.89.6 - 1.02 / 1.05 - 2.90

编写语言: 易语言

[MD5] 7C72C7DADDF61B98804CBA0C5EDA4669

[SHA256] F17E7BBFC5B003672C872BD5B4FE2BD4B15CAA1E91045FE40D2FA2DFBA607837

(1) 隐藏自身

(2) 释放病毒子体

(3) 关闭UAC

(4) 注册开机启动项

(5) 进程检测

(6) 删除卷影副本

(7) 发送邮件

(1) 查看是否加壳.

(2) 观察病毒运行起来之后做了一些什么.

(3) 用火绒剑载入运行, 检测一些敏感行为.

(1) PEID载入, 发现了UPX 壳, 用ESP定律轻松脱掉.

(2) 根据一下特征分析得出这是一个易语言程序.

易语言的标准图标

易语言的跳转表

(3) 在虚拟机中运行程序, 取得一些程序特征.

  (1) 自我隐藏

  (2) 打不开任务管理器

  (3) 桌面背景被换

  (4) 各个盘根目录都有勒索图片

  (5) 文件被加密后大小不变 <最重要的特征, 以此可以判断使用了流加密算法>

  (6) 写了开机启动项.

(4) 运行截图

(5) 拿到一些基础的特征, 就可以开始逆向分析了.

(1) 病毒母体最主要的功能就是把病毒子体释放到系统临时目录,并执行.

(2) 其余的功能就是病毒子体的前5步一样了, 为了篇幅不太臃肿, 就省略了.

(1) 通过易语言的特征码：FF 55 FC 5F 5E 89 5D F4 下断点,

     这里会处理main函数, 按钮事件, 时钟 … 等各种事件.

(2) 下好断点之后, 运行, 就会断到此处, 按F7即可找到main函数, 继续往下分析即可.

(3) 创建Event, 用来防多开

(4) 提升进程权限

(5) 提升自身进程优先级

6) 写注册表破坏UAC,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

写入值: <0>

(7) 修改开机启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WannaDie

写入值:“<C:\Users\AYZRxx\AppData\Local\Temp\dump_daughter_.exe”>

(8) 禁用注册表工具, 写注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools

写入值: <1>

(9) 禁用任务管理器, 写注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

写入值: <1>

(10) 设置自身文件属性为<隐藏|系统|只读|存档>

(11) 删除卷影副本, 执行CMD命令: "cmd /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatu"

(12) 生成随机序列号, 这些序列号只是用来辨别中毒机器的, 并不是真正的解密Key.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课