首页
社区
课程
招聘
[原创]Virus.Win32.Agent.P病毒分析
发表于: 2024-5-13 23:02 2411

[原创]Virus.Win32.Agent.P病毒分析

2024-5-13 23:02
2411

今天(也不是今天了,今天才发现的)查毒,发现电脑感染了Virus.Win32.Agent.P病毒,几乎我电脑中的exe被感染了个遍。我提取了一个病毒exe样本,在虚拟机里开始分析。

(碰到感染性病毒还是罕见,不过这也很好玩)

一、病毒行为
病毒会扫描电脑中的exe和rar文件,然后进行感染。exe就是修改oep,插入一段shellcode来引导主程序优先创建病毒主体。rar不清楚怎么感染,丢一边了w。

执行到病毒主体后会去黑客官网下载文件(不过现在网站出问题了好像,啥都下不下来),猜测是灰鸽子之类的远程控制监督的程序,也有可能是开矿。

下面详细跟踪病毒行为。

二、详细行为
比较关键的一个函数就是sub_401638:

这里可以跟进StartAddress看看:

很明显,病毒首先创建链接,下载病毒附属程序,随后保存在本地,然后执行。现在这里什么都下不下来,只有在CreateFileFromDownloadFile里面创建的MZ头,所以WinExec是失败的。

接下来看看感染主函数。这也是这个病毒的关键

继续跟进。

这里判断盘符,并传给402b7D。跟进。

由于词穷(喂),我省略了不重要的部分。

我们跟进sub_4028B8。

来到这就清晰了。这个病毒会感染两种文件,一种是exe,一种是rar。rar的感染不太清楚。我们看exe的感染:

其实上面一大堆,其实真正要注意的事这个函数。因为这个函数就是感染exe的shellcode。

这个shellcode采用hash的办法获取API地址,然后加载运行。

三、尾声
这是我第一次写病毒解析,如果有不好的地方多多指教。

不过也是遇到这个病毒比较简单,虽然是感染性病毒……

不过分析这个还是很有乐趣的一件事吧。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//