首页
社区
课程
招聘
[原创]对伪装docx病毒样本的分析
发表于: 2021-4-8 14:57 8207

[原创]对伪装docx病毒样本的分析

2021-4-8 14:57
8207

病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。

打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。

trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

通过Exeinfo PE工具可以分析出该病毒样本是没有加壳的样本,并且是64位程序。通过区段表信息可以看到它是个常规的PE文件。

通过CFF Explorer工具可以查看该病毒样本主要依赖如下的5个模块信息。

通过Procmon进程监控工具进行可以监控进程启动时,该病毒文件会删除自身文件,并重新创建一个新docx文件并将原来的文件内容写入到文件中。

下面是病毒运行后释放出来的原始文件,第二个文件是为了分析用,不让其进行自动删除病毒文件。

背景:ollydbg动态逆向分析工具附加病毒文件进程,病毒文件就直接退出了,所以猜测该病毒样本具体反调试功能。

病毒样本的反调试功能函数:IsDebuggerPresent()

过掉反调试功能:通过API Hook(可以用微软Detours库)方式将反调试功能函数给Hook掉,让其反调试功能失效,这样我们的ollydbg动态调试工具才能正常调试。

IsProcessorFeaturePresent()函数详解

IsDebuggerPresent()函数详解

通过创建互斥体CreateMutexA()方式进行实现功能

CreateMutex()函数详解


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (1)
游客
登录 | 注册 方可回帖
返回
//