-
-
[原创]Lab03-03样本分析记录
-
发表于: 2021-3-20 19:45 4221
-
该样本来源于此帖恶意样本简单分析
NAME:Lab03-03.exe
MD5:e2bf42217a67e46433da8b6f4507219e
SHA1:daf263702f11dc0430d30f9bf443e7885cf91fcb
样本运行后,效果可见ANYRUN。
PEID查壳:
运行样本并通过procexp对其进行监控,结果如下图。据此可以知道,Lab03-03.exe
运行后生成名为svchost.exe
的程序,随后Lab03-03.exe
自行退出:
将生成的svchost.exe
与系统文件svchost.exe
进行对比可发现,该文件出现了许多不应该存在的字符串:
查看服务,该svchost.exe
属于未知组件:
通过procmon,可以发现由Lab03-03.exe
生成的svchost.exe
在不断调用WriteFile
和CreateFile
等函数对一个名为practicalmalwareanalysis.log
的文件进行操作:
打开该文件,其中记录了键盘及文件操作等信息。例如此处在桌面新建文档并键入字符,打开practicalmalwareanalysis.log
后可观察到如下信息:
由此可知Lab03-03.exe
运行后将生成进程svchost.exe
并自行退出,留下的svchost.exe
会在同目录下生成practicalmalwareanalysis.log
用于记录键盘及文件操作信息。
用IDA对Lab03-03.exe
进行分析
main函数主要逻辑如下:
其中主要分析sub_40149D
、sub_40132C
及sub_4010EA
该函数第一个参数为\svchost.exe,函数主要目的是返回系统文件svchost.exe
的路径:
sub_40132C
将PE文件地址作为参数传入:
随后对其进行如下处理:
首先查找位置,此处笔者将该部分复制出来保存:
当判断该文件前两个字母不为"MZ"时,sub_401000
函数将对其进行处理,处理方式为:
sub_40132C
函数结束后内存变化如下,此时解析后的PE文件写入内存0x3B0000
处:
将保存的文件异或处理后得到文件如下,对该文件的分析将放至第三部分详细描述:
此函数分析如下:
首先创建svchost.exe
,随后申请内存并将线程中获取的寄存器的值放入内存中:
之后利用NtUnmapViewOfSection
函数将Buffer
处的模块卸载:
最后激活进程:
此处用IDA对其进行分析
fn
中调用了函数sub_4010c7
,该函数主要目的为处理键值并在相应的文档中记录信息:
赞赏
- [原创]MS12-027及利用样本分析 16635
- [原创]Lab03-03样本分析记录 4222
- [原创]彩虹猫样本分析记录 3590