【逆向（原创）-分析某蠕虫病毒】对一个蠕虫病毒的分析（其实就是瞎点）——掌控安全最强

【主题】病毒分析

【病毒】蠕虫病毒

【分析内容】行为，特征，API

【测试环境】XP虚拟机，影子系统（WIN10物理机）

【病毒来源】http://www.uzzf.com/soft/270955.html

【作者】CatGames

【主页】CatGames.cn

【PHP云加密】PHP.CatGames.cn

【Q群】https://jq.qq.com/?_wv=1027&k=5ywnw4D

0x00 前言

今天本来是想玩一下Crackme的，随便搜索，搜索到了一个Crackme

东坡下载，我就不想打码了，你们自己的网站都管不好？

下载之后是这样的（在写帖子的时候，这个蠕虫病毒，已经完全让我的虚拟机沦陷了，所有软件无法打开，包括所有的逆向工具，导致我不得不开影子系统，使用物理机进行分析，突然想到我的U盘里还有虚拟机文件，诶嘿，继续！。）

0x01 PEID 查壳

病毒母体采用3层加壳，第一层是UPX3.03压缩壳

第二层是一层私有加密壳，�斥着大量垃圾指令，无意义API调用，数据代码混淆

第三层解密后可以看到，文件是用MASM编写

可以看到是有壳的，然后我载入OD，看到开头，然后瞬间秒托壳。

脱壳方法看我之前的帖子（ESP定律）

0x02 查看导入表，并进行分析。

我当时看到这些导入表，我就觉得不对劲，为什么呢？一个CM需要这么多的东西么？除了反调试，之类的，一个CM需要调用这么多东西？ 逐个分析，挑出敏感的来分析

敏感1：comdlg32.dll|comdlg32.dll是什么进程|comdlg32.dll病毒？有些情况下你看到的comdlg32.dll这一进程，实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码，网上银行以及各种隐私数据。成为了一个极大的安全隐患。惊现“comdlg32.dll”文件遭病毒感染，百万网游玩家受盗号威胁！

comdlg32.dll是什么？
   comdlg32.dll是一个进程，它是微软视窗操作系统中的一部分。在系统中主要负责会话管理子系统电脑配置:(WWW.0731WX.COM)。这个进程作为计算机正常、稳定运行所必须的项目，不应被随意终止以免造成不必要的麻烦。

敏感2：ws2-32.dll 系统文件ws2_32.dll是存放在Windows 系统文件夹中的重要文件，通常情况下是在安装操作系统过程中自动创建的，对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是 流氓软件篡改导致ws2_32.dll 

这是丢失或被篡改的风险：

 1、桌面图标无法删除2、网络游戏打不开3、电脑无故蓝屏4、电脑没声音5、 桌面无法显示6、主页被修改为网址导航

敏感3：oleaut32.dll

1.系统弹出“oleaut32.dll无效的windows映像”提示 2.系统弹出“应用程序无法启动此程序,因为计算机中丢失oleaut32.dll。尝试重新安装该程序以解决此问题”提示。

敏感4：gdi32.dll

系统文件gdi32.dll是存放在Windows系统文件夹中的重要文件，通常情况下是在安装操作系统过程中自动创建的，对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是流氓软件篡改导致出现gdi32.dll丢失、缺失损坏等弹窗现象。

最敏感的还是第一个吧！2,3,4都是来划水的，无伤大雅。

0x03 分析感染后的行为特征

这是感染后的第一个特征，病毒文件替换了某些系统文件，导致了这个窗口，

第二个特征就是 此款病毒会感染你的dll exe html文件，每次运行的时候会进行一次生成另外一个带有原名字的一个EXE.

为了真实模拟被感染的情况，我用到了影子系统。

这是脱壳之后的病毒，我们直接运行

我运行病毒之后 

很清楚的看到 我在运行PEID，会生成一样的带有Srv的一个exe程序。

这是它的第二个行为。 

用IDA可以查看它的调用，我对IDA的使用并不熟悉，所以，暂时基本上就分析到这。

文件已打包，会的大佬拿去分析一下。（顺带教教我，我是一个只会OD的小学生）

0X04 各大病毒分析平台分析的数据

VirSCAN.org-的结果如下

我大360还是很强的。

virustotal扫描结果如下：

很清楚的看到，病毒的原形叫ramnit

ramnit.a（win32 ramnit a 病毒）：Ramnit是一种蠕虫病毒。它能够感染用户计算机系统中的.exe、.dll和.html文件。
W32.Ramnit将自身加密以后附加到目标文件中。当被感染的文件运行时，该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe，然后执行。同时在%\ PR ogramFiles%\目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com，从该网站下载.dll文件注册到系统中。
该病毒主要通过移动存储介质进行传播。传播时，它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中，同时创建autorun文件以达到自动启动的目的。

究其来源，发现大部分被感染的新机器主要来自于外挂辅助程序、游戏登录器、账号获取器以及其他病毒的携带。

  外挂辅助程序主要从网络上下载以及接受QQ好友的文件、淘宝的聊天文件等，这些文件本身大部分已经被感染，一部分会投放该感染病毒。目前发现投放该病毒的有迅雷VIP获取器、反恐登号软件、登录器等。该病毒还会借助蠕虫病毒在网络上传播，感染量巨大。

CatGames给出的防御方式：人放聪明点，脑子灵活点，实在玩一些外挂，什么的不放心，直接装一个影子，开挂打游戏的时候，开影子模式（如果这个病毒能绕过影子，那你不用防御了，让他吃你的电脑吧。）建议下载360安全卫士进行杀毒。

更详细的分析请看腾讯实验室的文章（我这种小打小闹都不算，去看看腾讯工程师的吧）https://slab.qq.com/news/tech/1289.html

病毒文件，我已经放在了附件，各位大佬自己下载，顺带会IDA的教教我IDA 或者甩我个教程也是可以的。嘻嘻！

看完腾讯的分析，看看人家用IDA，我用OD，没意思！唉