-
-
[原创]某病毒样本分析
-
发表于: 2019-5-26 10:02
-
文件说明:
133046_xeex.exe.vir:样本文件
upmhfzxspk.sys: 由133046_xeex.exe.vir释放出来的文件
p2phook.sys: 由upmhfzxspk.sys释放出来的文件
p2pc.ini: 由upmhfzxspk.sys释放出来的文件
safemon.dll: 由upmhfzxspk.sys释放出来的文件
beep.sys:由upmhfzxspk.sys释放出来的文件
首先查下壳,发现是vmp的壳
拖进ida,几乎没法看
在虚拟机里运行用火绒剑看下行为,创建了一个IE浏览器的进程就退出了,说明可能有虚拟机检测
接下来用od分析
样本判断是否加载是否的驱动,如果已经加载了,则结束进程,如果检测到在虚拟机中运行就会运行ie浏览器,打开网页http://xytets.com:2345/t.asp?1002vm,并结束自身进程。
进call 00401610 发现检测虚拟机的代码(VMwar系统存在后门,用于虚拟系统和真实系统的交互)来判断是否程序运行在虚拟机中
我们可以把0040171D这句nop掉,继续运行,用火绒剑就能看到很多行为了。
接下来去od中验证这些行为。
在C:\temp目录创建一个随机10个字母为名称的sys文件
调用api WriteFile向刚创建的文件中写入数据
这里说明下,进call 00444783会发现有些混淆的代码,实际上这是vmp对IAT表的保护,我们可以一直按F7单步就可以到真正的api地址
安装服务加载驱动
删除释放并加载过的驱动文件(趁他还没删,去到C:\Temp目录下找到驱动文件复制出来,待会分析)
运行safemon.dll 中的p2pr函数
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
好像是的 |
