首页
社区
课程
招聘
[原创]一种伪装xp文件夹病毒分析
发表于: 2021-3-19 15:22 11566

[原创]一种伪装xp文件夹病毒分析

2021-3-19 15:22
11566

前言:前段时间分析了许多伪装文件夹的样本,挑了一个比较简单的拿上来,分析的不是很细致,主要当时时间比较紧迫,有什么错误的,欢迎指出、讨论。

原样本是vb6.0 UPX壳的

脱完壳以后是VB6.0 Pcode编译的程序。是一个伪装xp文件夹诱导点击的病毒。

样本设置10个定时器,其中每个定时器的时间都不一致。
第一个: 设置ctfmon.exe自启动、lsass目录文件自启动,并设置文件为隐藏

第二个:创建sysrotdmo.sys,并写入数据、设置文件属性、修改时间。将两个邮箱地址写入

第三个:生成autorun.inf,并写入[autorun] open=CDburn.exe在当前磁盘生成Flash.src副本,并设置隐藏

第四个:寻找一些杀软的窗口、通过keybd_event模拟按键Alt+F4进行关闭

第五个:删除一些文件

第六个:遍历进程模块,并且传出模块名,设置模块的属性、修改时间。

第七个:指定邮箱发送html页面,这三个网址均为无效网址。邮箱账号 ot02_88@mail.ru

这三个网址均为微软官方的,网址无有意义的内容

第八个:修复sys并启动sys,设置文件属性为隐藏、设置修改时间

第十个:创建副本.scr,设置文件属性、修改时间

第十一个:定时从外网下载rar压缩包


http://softclub.land.ru/seeing/katie.rar
感染文件:代码中作者留下自己的ICQ账号——MY ICQ: 402974020,所有doc、xls、rtf、jpg、bmp都会被淫秽文字(俄文)替换。

总结
该样本还是具有一定的水平,值得去深入分析一下。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-3-22 14:00 被累累的编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (8)
雪    币: 8201
活跃值: (2706)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
请教一下,用什么反编译的
2021-3-20 07:15
0
雪    币: 1073
活跃值: (678)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
VB Decompiler
2021-3-22 09:10
0
雪    币: 581
活跃值: (1192)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
那几个微软的网址应该是使用CDOSYS发送邮件的时候需要用到。
参考链接:https://www.rondebruin.nl/win/s1/cdo.htm
2021-3-22 20:13
0
雪    币: 1507
活跃值: (853)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不认识俄文,还得在线翻译
2021-3-22 20:28
0
雪    币: 1073
活跃值: (678)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
lracker 那几个微软的网址应该是使用CDOSYS发送邮件的时候需要用到。 参考链接:https://www.rondebruin.nl/win/s1/cdo.htm
谢谢
2021-3-23 17:47
0
雪    币: 1073
活跃值: (678)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
guangzisam 不认识俄文,还得在线翻译
不用翻译,都是一些没有用的文字
2021-3-23 17:48
0
雪    币: 102
活跃值: (50)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
竟然还有人用VB6写病毒,见识到了
2021-4-3 11:35
0
游客
登录 | 注册 方可回帖
返回
//