【主题】病毒分析
【病毒】蠕虫病毒
【分析内容】行为,特征,API
【测试环境】XP虚拟机,影子系统(WIN10物理机)
【病毒来源】http://www.uzzf.com/soft/270955.html
【作者】CatGames
【主页】CatGames.cn
【PHP云加密】PHP.CatGames.cn
【Q群】https://jq.qq.com/?_wv=1027&k=5ywnw4D
0x00 前言
今天本来是想玩一下Crackme的,随便搜索,搜索到了一个Crackme
东坡下载,我就不想打码了,你们自己的网站都管不好?
下载之后是这样的(在写帖子的时候,这个蠕虫病毒,已经完全让我的虚拟机沦陷了,所有软件无法打开,包括所有的逆向工具,导致我不得不开影子系统,使用物理机进行分析,突然想到我的U盘里还有虚拟机文件,诶嘿,继续!。)
0x01 PEID 查壳
病毒母体采用3层加壳,第一层是UPX3.03压缩壳
第二层是一层私有加密壳,�斥着大量垃圾指令,无意义API调用,数据代码混淆
第三层解密后可以看到,文件是用MASM编写
可以看到是有壳的,然后我载入OD,看到开头,然后瞬间秒托壳。
脱壳方法看我之前的帖子(ESP定律)
0x02 查看导入表,并进行分析。
我当时看到这些导入表,我就觉得不对劲,为什么呢?一个CM需要这么多的东西么?除了反调试,之类的,一个CM需要调用这么多东西? 逐个分析,挑出敏感的来分析
敏感1:comdlg32.dll|comdlg32.dll是什么进程|comdlg32.dll病毒?有些情况下你看到的comdlg32.dll这一进程,实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码,网上银行以及各种隐私数据。成为了一个极大的安全隐患。惊现“comdlg32.dll”文件遭病毒感染,百万网游玩家受盗号威胁!
comdlg32.dll是什么?
comdlg32.dll是一个进程,它是微软视窗操作系统中的一部分。在系统中主要负责会话管理子系统电脑配置:(WWW.0731WX.COM)。这个进程作为计算机正常、稳定运行所必须的项目,不应被随意终止以免造成不必要的麻烦。
敏感2:ws2-32.dll 系统文件ws2_32.dll是存放在Windows 系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是 流氓软件篡改导致ws2_32.dll
这是丢失或被篡改的风险:
1、桌面图标无法删除2、网络游戏打不开3、电脑无故蓝屏4、电脑没声音5、 桌面无法显示6、主页被修改为网址导航
敏感3:oleaut32.dll
1.系统弹出“oleaut32.dll无效的windows映像”提示 2.系统弹出“应用程序无法启动此程序,因为计算机中丢失oleaut32.dll。尝试重新安装该程序以解决此问题”提示。
敏感4:gdi32.dll
系统文件gdi32.dll是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是流氓软件篡改导致出现gdi32.dll丢失、缺失损坏等弹窗现象。
最敏感的还是第一个吧!2,3,4都是来划水的,无伤大雅。
0x03 分析感染后的行为特征
这是感染后的第一个特征,病毒文件替换了某些系统文件,导致了这个窗口,
第二个特征就是 此款病毒会感染你的dll exe html文件,每次运行的时候会进行一次生成另外一个带有原名字的一个EXE.
为了真实模拟被感染的情况,我用到了影子系统。
这是脱壳之后的病毒,我们直接运行
我运行病毒之后
很清楚的看到 我在运行PEID,会生成一样的带有Srv的一个exe程序。
这是它的第二个行为。
用IDA可以查看它的调用,我对IDA的使用并不熟悉,所以,暂时基本上就分析到这。
文件已打包,会的大佬拿去分析一下。(顺带教教我,我是一个只会OD的小学生)
0X04 各大病毒分析平台分析的数据
VirSCAN.org-的结果如下
我大360还是很强的。
virustotal扫描结果如下:
很清楚的看到,病毒的原形叫ramnit
ramnit.a(win32 ramnit a 病毒):Ramnit是一种蠕虫病毒。它能够感染用户计算机系统中的.exe、.dll和.html文件。
W32.Ramnit将自身加密以后附加到目标文件中。当被感染的文件运行时,该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe,然后执行。同时在%\ PR ogramFiles%\目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com,从该网站下载.dll文件注册到系统中。
该病毒主要通过移动存储介质进行传播。传播时,它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中,同时创建autorun文件以达到自动启动的目的。
究其来源,发现大部分被感染的新机器主要来自于外挂辅助程序、游戏登录器、账号获取器以及其他病毒的携带。
外挂辅助程序主要从网络上下载以及接受QQ好友的文件、淘宝的聊天文件等,这些文件本身大部分已经被感染,一部分会投放该感染病毒。目前发现投放该病毒的有迅雷VIP获取器、反恐登号软件、登录器等。该病毒还会借助蠕虫病毒在网络上传播,感染量巨大。
CatGames给出的防御方式:人放聪明点,脑子灵活点,实在玩一些外挂,什么的不放心,直接装一个影子,开挂打游戏的时候,开影子模式(如果这个病毒能绕过影子,那你不用防御了,让他吃你的电脑吧。)建议下载360安全卫士进行杀毒。
更详细的分析请看腾讯实验室的文章(我这种小打小闹都不算,去看看腾讯工程师的吧)https://slab.qq.com/news/tech/1289.html
病毒文件,我已经放在了附件,各位大佬自己下载,顺带会IDA的教教我IDA 或者甩我个教程也是可以的。嘻嘻!
看完腾讯的分析,看看人家用IDA,我用OD,没意思!唉
打赏我,让我更有动力~
catgames
发表于 2018-7-31
什么鬼垃圾文本编辑框?我整理的好好的一发表就全乱了?
评论列表
加载数据中...
catgames
发表于 2018-7-31
看完大佬的分析 算了 放弃了
我去学IDA了 唉!!!生活 还要继续
评论列表
加载数据中...
catgames
发表于 2018-7-31
大牛勿喷 别问我这是哪门子分析 这个是我看了恶意代码与实战这本书的那个视频教程学的.....虽然没看完
评论列表
加载数据中...
catgames
发表于 2018-7-31
反正我现在是没有见过能杀掉影子的病毒....听说过 很多人说 但是没人拿出真东西说话
评论列表
加载数据中...
catgames
发表于 2018-7-31
对了 如果谁有IDA PRO的教程 可以甩我一个 谢谢
评论列表
加载数据中...