首页
社区
课程
招聘
[原创]骷髅病毒简单分析
发表于: 2018-4-5 00:10 9293

[原创]骷髅病毒简单分析

2018-4-5 00:10
9293

# 一:目录
1.样本信息
2.行为分析
3.样本分析
4.详细分析
5.博客数据:https://pan.baidu.com/s/1EUIguu7YV3pS7F7ej7aDNg

# 二:样本信息
1.样本名称:样本.exe(脱壳后为样本dump.exe)
2.md5:5b8bc92296c2fa60fecc6316ad73f1e2
3.是否加壳:加壳UPX
4.编译语言:visual C++

# 三:行为分析
1)通过注册表判断系统是否被感染
2)获取windows目录,利用计时器实现随机命名,把病毒copy到windows目录实现隐藏
3)删除样本文件
4)创建服务,实现自启

5)链接指定url,执行后门行为。

# 四:详细分析
1.PEID查壳,发现是UPX加壳,ESP定律法脱去
2.病毒先将currentcontrol\services\和15654656链接起来,并且利用RegOpenKey来打开这个注册表。目的是:判断这个服务是否被创建,换句话说看病毒是否在系统内存在

3.如果这个服务不存在,病毒执行405A25,打开服务管理器。然后获取windows目录,比较c://windows,接着通过GetTick来获取计数器,复制那个exe文件到windows目录。目的是实现自身的隐藏,接着调用CreateService来创建病毒服务。判断服务是否开启,然后开启服务,最后,先获取获取目录信息,接着获取当前进程信息,目的是获取样本文件的信息,以便为删除做准备**然后调用shellEx利用cmd执行/c del >nul删除样本文件,设置进程的优先级。以便后续为破坏做准备

4。如果这个服务存在的话,执行后续操作。
5.通过调用StartServiceCtrlDispatcher函数,执行线程

6.分析该服务线程
    1)先获取例如closesocket和SDetServiceStatus等函数的地址

    2)创建一个互斥体,**目的是使系统中只有一个病毒实例在运行**
    3)创建一个线程,然后枚举资源列表,更新文件。
                a)先和"2"一样,打开15654656注册表,判断病毒是否运行成功。

              b)获取文件属性,并创建一个文件,读取文件,替换文件资源

          c)加载刚刚替换的资源文件hra%u.dll

 4)分析第一个线程:

        a)获取网络主机名和地址

          b) 比较用户名和密码:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (5)
雪    币: 46
活跃值: (62)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
又是渣渣远控,全盘感染型
2018-4-5 10:19
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
应该分析分析如何过的主防  功能流程基本都那些套路.
2018-4-5 14:19
0
雪    币: 498
活跃值: (2324)
能力值: ( LV12,RANK:356 )
在线值:
发帖
回帖
粉丝
4
kakasasa 应该分析分析如何过的主防 功能流程基本都那些套路.
小白第二次发帖,下次尽量向高水平分析,您说的没错,应该分析过主防的病毒
2018-4-6 00:09
0
雪    币: 3279
活跃值: (1997)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
太高级了。
2018-4-6 19:12
0
游客
登录 | 注册 方可回帖
返回
//