-
-
[原创] Sality蠕虫病毒 变种分析
-
发表于:
2020-9-28 19:01
9600
-
最近遇见了Sality的一个变种,也拿过来分析了一下,大家有很多人想要下样本的,给大家推荐一个网站:https://bazaar.abuse.ch/browse/ 很多样本都是从这里下载的分析的,很棒
ret回到执行的位置
动态获取LoadLibrary和GetProcAddress的函数地址
运行一个外部程序
直接proceess监控一下
发现病毒获取了如上函数地址后会将又一段隐藏代码释放到0x640000处并运行,是UPX加壳
主函数分析:
SetErrorMode,SEM_NOGPFAULTERRORBOX|SEM_NOOPENFILEERRORBOX 主要让系统不显示Windows错误报告对话框,当无法找到文件时不弹出错误对话框, 相反,错误返回给调用进程
修改注册表,防止显示隐藏的文件
修改安全中心的提示
记录:
开始新的一轮修改循环,/Svc连接到路径后面
修改设置IE浏览器脱机
当程序尝试安装软件或对计算机进行更改时,Windows不会通知用户,通过EnableLUA
关闭windows的消息管理通知,关闭windows自带的防火墙
想要创建的驱动
创建互斥信号量
会释放一个.sys驱动文件,并将其注册成一个服务,实现开机自启动(文件路径C:\Windows\system32\drivers\mukhpm.sys)
保留所有安全模式设置的位置是HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot注册表项,删除此注册表项将阻止您启动到安全模式
创建驱动(64位的机器在SysWow64下),让我们无法访问杀软有关的页面
结束我们的杀软进程
反病毒的列表:
主要的感染模块将普通文件,杀毒软件,系统文件,U盘进行感染
如果包含daemon以及系统保护文件不会感染,文件大小在512和41943010全部进行感染
创建执行完会把exe删除
C盘下创建inf文件
检索创建或上次访问和最后修改的文件或目录的日期和时间
自动运行程序,可指向病毒,使用工具将其免疫
获取一个ip
比较字节是否为http,之后跳转
将ip写入临时文件winwfcm.exe
打开链接
链接成功创建文件
好像网站死了,导致执行不到这里
删除TEMP目录下的.exe和.rar格式的文件
检测hHandle事件的信号状态
病毒会进行P2P式的后门通信
后门通信
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!