首页
社区
课程
招聘
[原创] Sality蠕虫病毒 变种分析
发表于: 2020-9-28 19:01 9600

[原创] Sality蠕虫病毒 变种分析

2020-9-28 19:01
9600

最近遇见了Sality的一个变种,也拿过来分析了一下,大家有很多人想要下样本的,给大家推荐一个网站:https://bazaar.abuse.ch/browse/ 很多样本都是从这里下载的分析的,很棒

ret回到执行的位置

动态获取LoadLibrary和GetProcAddress的函数地址

运行一个外部程序

直接proceess监控一下

发现病毒获取了如上函数地址后会将又一段隐藏代码释放到0x640000处并运行,是UPX加壳

主函数分析:

SetErrorMode,SEM_NOGPFAULTERRORBOX|SEM_NOOPENFILEERRORBOX 主要让系统不显示Windows错误报告对话框,当无法找到文件时不弹出错误对话框, 相反,错误返回给调用进程

修改注册表,防止显示隐藏的文件



修改安全中心的提示

记录:

开始新的一轮修改循环,/Svc连接到路径后面

修改设置IE浏览器脱机

当程序尝试安装软件或对计算机进行更改时,Windows不会通知用户,通过EnableLUA

关闭windows的消息管理通知,关闭windows自带的防火墙

想要创建的驱动

创建互斥信号量

会释放一个.sys驱动文件,并将其注册成一个服务,实现开机自启动(文件路径C:\Windows\system32\drivers\mukhpm.sys)

保留所有安全模式设置的位置是HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot注册表项,删除此注册表项将阻止您启动到安全模式

创建驱动(64位的机器在SysWow64下),让我们无法访问杀软有关的页面


结束我们的杀软进程

反病毒的列表:

主要的感染模块将普通文件,杀毒软件,系统文件,U盘进行感染

如果包含daemon以及系统保护文件不会感染,文件大小在512和41943010全部进行感染

创建执行完会把exe删除

C盘下创建inf文件

检索创建或上次访问和最后修改的文件或目录的日期和时间


自动运行程序,可指向病毒,使用工具将其免疫

获取一个ip

比较字节是否为http,之后跳转

将ip写入临时文件winwfcm.exe


打开链接

链接成功创建文件

好像网站死了,导致执行不到这里

删除TEMP目录下的.exe和.rar格式的文件

检测hHandle事件的信号状态

病毒会进行P2P式的后门通信

后门通信

 
 
 
 
 
 
 
 
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 4
支持
分享
最新回复 (4)
雪    币: 4709
活跃值: (1575)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
2
源哥牛批
2020-9-30 10:21
0
雪    币: 19
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
GTZ
3
66666
2020-10-1 17:21
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
666
2020-10-3 14:55
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
能分享下bazaar上的md5吗
2021-11-1 19:28
0
游客
登录 | 注册 方可回帖
返回
//