文章目錄
說明:
萌新一枚,最近一段時間在面試病毒相關崗位,有的公司會電話、遠程面試詢問相關知識,有的則會直接發送病毒樣本要求分析,寫出分析報告。下面要分析的就是面試過程中的某個樣本,整理成文,發表出來,供大家參考學習,一起進步!如有不當之處,也希望大佬批評指正,晚輩一定虛心受教。由於考慮到時間問題,不能讓面試官等太久,所以我只將病毒關鍵功能模塊進行分析說明,沒有之前文章那麼詳細,也請大家見諒,不懂之處歡迎提出,我也儘量解答,加油!
注意:
此樣本存在成人圖片內容,未成年同學請勿下載!只限於學習用途!互聯網並非法外之地!求生欲強的我不承擔相關法律責任的哈!
一、樣本信息:
- 樣本名稱:94251089D878B5C45A763B205062B60CC4D7D0A1CD4CAB3CAA38D8E6A43ECB11
- 樣本大小:893.13KB
- MD5:ba46b18f05ab2b24df26e343dd32946b
- SHA-256:32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
- SHA-1:34f07e131d4f147af96d262eee761582c6f0b1a4
- VirusTotal:https://www.virustotal.com/#/file/32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5/detection
二、分析環境及工具:
環境:Oracle VM VirtualBox、Windows 7 Service Pack 1(x64)
工具:PEID V0.95、OD、IDA、Resource Hack、火絨劍、010editor、Resource Explorer
三、基礎病毒分析:
基礎靜態分析:
爲了方便測試,更改病毒名稱爲1,拖入PEID發現爲非PE文件,拖入010editor發現是個rar文件,更改文件名添加.rar後綴解壓發現一個僞裝成文件夾的exe程序
對18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe進行查殼,初步判斷爲無殼:
將18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe拖入IDA簡單發現安全程序字符串和進程遍歷函數,判斷病毒程序會對安全軟件進行遍歷:
基礎動態分析:
爲了節約時間,這裏就不截圖展示了,基本思路是拖入火絨劍監控程序運行,常見的操作和推測可參考之前的文章
四、詳細病毒分析:
18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.exe分析:
首先程序來到sub4057AE()函數,對自身PE程序進行檢測,失敗則會退出
sub40624F()根據前面獲得的啓動信息結構體對主機型號進行檢測
獲得命令行參數
然後進入sub408D2C函數得到系統環境變量,寬字節轉爲單字節
之後來到核心程序sub401A40()
獲取自身路徑以及當前目錄
程序進入sub402120()函數,發現主要是兩個sub401450()函數
第一個sub401450(),程序首先設置文件指針,閱讀數據放到開闢的內存空間,然後在c:\windows\help下創建備份文件
接着將備份文件字符串和同文件名目錄作爲參數傳入sub4026B0()函數,進入sub4026B0()函數
創建文件目錄,獲得備份文件句柄
拼接處新的圖片目錄路徑和.liz後綴路徑,創建新文件1.liz
之後將1.liz數據寫入1.jpg,刪除1.liz文件
下面對比[esp+0x10]的值開始新的循環
最終寫入了7張圖片和Thumbs.db文件
然後刪除備份文件
來到第二個sub4026B0()函數
程序獲取臨時目錄文件路徑,拼接出字符串c:\user\yxx\appdata\local\temp\rat.exe,如果存在直接打開,不存在就創建rat.exe
之後創建進程運行rat.exe
拼接出路徑c:\user\yxx\appdata\local\temp\byeyou.tmp,遍歷系統進程,查找是否存在sftlcom.exe與pavfnsur.exe殺毒軟件
之後移動原程序到新的文件名c:\user\yxx\appdata\local\temp\byeyou.tmp裏
rat.exe分析:
自啓動相關
註冊表相關
複製自身爲ctfmon.exe
尋找資源文件
創建進程打開alg.exe程序
然後卸載進程模塊,實現傀儡進程注入
喚醒線程,開始運行核心程序
提取rat.exe的資源文件命名爲resource.exe
resource.exe分析:
sub405BD0()函數,提升程序權限
sub401720()解密所需的字符串
接着也是解密出需要使用的dll模塊和相關函數地址
最後進入核心函數sub405960()
先進入sub405720()函數看下
首先程序打開病毒服務器網址,保存返回數據(服務器地址已經掛了)
直接靜態分析
根據自己定義的字符串切割返回的數據
至此基本判斷爲這是個遠控木馬,進入遠控函數sub403190()
程序首先解密出相關的dll,函數名稱,並獲得函數地址,方便接下來的函數使用
遠控功能
獲取本機IP地址
檢測是否能ping通
獲取系統版本,CPU信息
獲取磁盤信息
獲取文件信息,可以遠程創建,閱讀,重命名,移動,複製,刪除
遠程關機,重啓
卸載
服務啓動
列出進程,殺死進程
截屏
然後傳入其他兩個域名參數,再次進入遠控函數
至此病毒簡單的分析完畢,在遠控功能部分中,病毒作者以熟悉、簡單的英文甚至中文拼音來命名功能函數,幫助我們節省大量的時間,如果作者沒有這樣命名的話,我們也可以採用OD動態調試觀察。若以後接觸了多的話,遠控功能部分可以適當跳過,因爲大同小異,沒必要浪費時間!
五、病毒行爲流程總結:
六、技術思考總結:
- 要熟悉病毒常見的注入方式,例如這次的傀儡進程注入,最好動手寫一遍,熟悉常使用的函數
- 在病毒與服務器交互的過程中,常常遇到某個函數卡死的情況,這時候要合理nop,不然程序分析不下去
- 對於病毒常見的功能模塊要熟悉,遇到時要合理選擇步過,不要浪費時間
- 對自己有信心,有耐心,程序飛了沒關係,再來
- 多動手,多分享,切勿眼高手低,自己獨立分析,參考分析,光看不分析所收穫的知識是完全不一樣的
七、手工殺毒及防護建議:
- 刪除臨時文件目錄c:\user\yxx\appdata\local\temp下的rat.exe,byeyou.tmp,ctfmon.exe程序
- 重啓電腦,用專業殺毒軟件全盤掃描清理
- 文明上網,減少對不良網站的瀏覽,絕不下載不良網站上執行程序
八、相關IOC:
http[:]//softover[.]net/chendog/rat/gif
cn[.]fetftp[.]nu
rt[.]softseek[.]org
MD5:ba46b18f05ab2b24df26e343dd32946b
SHA-256:32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
SHA-1:34f07e131d4f147af96d262eee761582c6f0b1a4
PS:天色已經太晚,還有一篇面試要求寫的病毒分析報告近期也會整理髮布,供大家參考學習,一同交流進步,謝謝閱讀!
由於相關文件有點大,放在微雲上供大家下載:https://share.weiyun.com/54wPdwh
(密碼52pojie)