-
-
[原创]Virus.Win32.Agent.P病毒分析
-
发表于: 2024-5-13 23:02
-
今天(也不是今天了,今天才发现的)查毒,发现电脑感染了Virus.Win32.Agent.P病毒,几乎我电脑中的exe被感染了个遍。我提取了一个病毒exe样本,在虚拟机里开始分析。
(碰到感染性病毒还是罕见,不过这也很好玩)
一、病毒行为
病毒会扫描电脑中的exe和rar文件,然后进行感染。exe就是修改oep,插入一段shellcode来引导主程序优先创建病毒主体。rar不清楚怎么感染,丢一边了w。
执行到病毒主体后会去黑客官网下载文件(不过现在网站出问题了好像,啥都下不下来),猜测是灰鸽子之类的远程控制监督的程序,也有可能是开矿。
下面详细跟踪病毒行为。
二、详细行为
比较关键的一个函数就是sub_401638:
这里可以跟进StartAddress看看:
很明显,病毒首先创建链接,下载病毒附属程序,随后保存在本地,然后执行。现在这里什么都下不下来,只有在CreateFileFromDownloadFile里面创建的MZ头,所以WinExec是失败的。
接下来看看感染主函数。这也是这个病毒的关键
继续跟进。
这里判断盘符,并传给402b7D。跟进。
由于词穷(喂),我省略了不重要的部分。
我们跟进sub_4028B8。
来到这就清晰了。这个病毒会感染两种文件,一种是exe,一种是rar。rar的感染不太清楚。我们看exe的感染:
其实上面一大堆,其实真正要注意的事这个函数。因为这个函数就是感染exe的shellcode。
这个shellcode采用hash的办法获取API地址,然后加载运行。
三、尾声
这是我第一次写病毒解析,如果有不好的地方多多指教。
不过也是遇到这个病毒比较简单,虽然是感染性病毒……
不过分析这个还是很有乐趣的一件事吧。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
