病毒分析

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
骷髅病毒分析报告
阅读量 62684 | 评论 5

分享到： QQ空间 新浪微博 微信 QQ facebook twitter
发布时间：2018-09-19 15:30:15

一：目录
1.样本信息
2.行为分析
3.样本分析
4.详细分析

二：样本信息
1.样本名称：样本.exe（脱壳后为样本dump.exe）
2.md5：5b8bc92296c2fa60fecc6316ad73f1e2
3.是否加壳：加壳UPX
4.编译语言：visual C++

三：行为分析
1）通过注册表判断系统是否被感染
2）获取windows目录，利用计时器实现随机命名，把病毒copy到windows目录实现隐藏
3）删除样本文件
4）创建服务，实现自启

5）链接指定url，执行后门行为。

四：详细分析
1.PEID查壳，发现是UPX加壳，ESP定律法脱去
2.病毒先将currentcontrolservices和15654656链接起来，并且利用RegOpenKey来打开这个注册表。目的是：判断这个服务是否被创建，换句话说看病毒是否在系统内存在

3.如果这个服务不存在，病毒执行405A25，打开服务管理器。然后获取windows目录，比较c://windows，接着通过GetTick来获取计数器，复制那个exe文件到windows目录。目的是实现自身的隐藏接着调用CreateService来创建病毒服务。判断服务是否开启，然后开启服务，最后，先获取获取目录信息，接着获取当前进程信息，目的是获取样本文件的信息，以便为删除做准备然后调用shellEx利用cmd执行/c del >nul删除样本文件，设置进程的优先级。以便后续为破坏做准备

4。如果这个服务存在的话，执行后续操作。
5.通过调用StartServiceCtrlDispatcher函数，执行线程

6.分析该服务线程
1）先获取例如closesocket和SDetServiceStatus等函数的地址

2）创建一个互斥体，目的是使系统中只有一个病毒实例在运行
3）创建一个线程，然后枚举资源列表，更新文件。
a)先和”2”一样，打开15654656注册表，判断病毒是否运行成功。

b)获取文件属性，并创建一个文件，读取文件，替换文件资源

c)加载刚刚替换的资源文件hra%u.dll

4）分析第一个线程：

a）获取网络主机名和地址

b) 比较用户名和密码：

c) 获取当前文件路径，并把文件分别复制到C,D,E盘中（E:g1fd.exe）【调用copyfile函数执行】

d) 如果在C,D,E中则会获取当前时间，然后执行程序，否则把文件复制到F盘，然后休眠500ms后创建下个线程.

5）分析第二个线程：
a）初始化网络配置，休眠100ms，获取本地时间，转化为int类型，和20030221比较，如果小于的话，则一直执行，然后创建CreateStartFun线程（本质是调用StartAddress函数）。

b)在StartAddress内部先访问一个短地址aa.re67das.com,然后获取IP地址利用socket链接。
c) 获取机器的基本配置，然后load hra%u.dll

d) 利用send（）发送刚刚获取的机器信息。

e) 利用SelectAndRev3这个函数去不断的从服务器端接收控制信息，

f）输入16号控制码：

g）输入18号控制码（行为见脑图）：

6）分析第三个线程：
a)获取本地时间，如果小于2013.02.21则线程不断执行

b)否则执行线程如c：
c)如上,分析线程2所示一致。只是比2多了一个文件写入的函数

7）分析第四个线程：

a) MainFun4只是比MainFun3多了一个连接特定url的函数，但是这个解密过程没分析出来，但是你可以通过apadns来获取相关信息。

本文转载自: Pediy.com
如若转载,请注明出处： https://bbs.pediy.com/thread-225721.htm
安全客 - 有思想的安全新媒体
恶意软件 逆向分析 骷髅病毒

HaCky 分享到： QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
妇科圣手
换一个
|评论列表
Helen · 2018-12-19 16:09:14 回复
哪里有这个样本的压缩包

猫头鹰 · 2018-09-21 19:23:58 回复
学习了，学习了，同时可以给小白同学们介绍本书《恶意代码分析实战》，很不错哦！！！

网瘾患者 · 2018-09-20 16:09:52 回复
请问类似与这样的文章有稿费吗

吃瓜群众 · 2018-09-20 18:19:17 回复
只管投看呗

YLLEN · 2018-09-20 12:05:00 回复
局域网感染型。

HaCky
这个人太懒了，签名都懒得写一个
文章
6
粉丝
3
TA的文章
Criakl勒索病毒分析简要
2019-02-20 10:30:01
某后门病毒分析报告
2019-02-15 16:30:40
NotPetya勒索病毒分析报告
2018-11-14 15:30:29
TrojanDownloader病毒分析报告
2018-10-11 16:30:02
骷髅病毒分析报告
2018-09-19 15:30:15
输入关键字搜索内容
相关文章
Lucky双平台勒索者解密分析
Criakl勒索病毒分析简要
2018年Android恶意软件专题报告
某后门病毒分析报告
Chrome扩展在持久化中的应用
2018年云上挖矿分析报告
勒索软件 Jaff 深入分析
热门推荐
文章目录
一：目录
二：样本信息
三：行为分析
四：详细分析
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank