【逆向(原创)-分析某蠕虫病毒】对一个蠕虫病毒的分析(其实就是瞎点)——掌控安全最强

catgames   ·   发表于 2018-7-31   ·   技术文章投稿区

【主题】病毒分析

【病毒】蠕虫病毒

【分析内容】行为,特征,API

【测试环境】XP虚拟机,影子系统(WIN10物理机)

【病毒来源】http://www.uzzf.com/soft/270955.html

【作者】CatGames

【主页】CatGames.cn

PHP云加密】PHP.CatGames.cn

Q群】https://jq.qq.com/?_wv=1027&k=5ywnw4D


0x00 前言

今天本来是想玩一下Crackme的,随便搜索,搜索到了一个Crackme


东坡下载,我就不想打码了,你们自己的网站都管不好?




下载之后是这样的(在写帖子的时候,这个蠕虫病毒,已经完全让我的虚拟机沦陷了,所有软件无法打开,包括所有的逆向工具,导致我不得不开影子系统,使用物理机进行分析,突然想到我的U盘里还有虚拟机文件,诶嘿,继续!。)


0x01 PEID 查壳

病毒母体采用3第一层UPX3.03压缩壳

第二层一层私有加密�斥着大量垃圾指令意义API调用数据代码混淆

第三层解密后可以看到文件是用MASM编写


可以看到是有壳的,然后我载入OD,看到开头,然后瞬间秒托壳。



脱壳方法看我之前的帖子(ESP定律)




0x02 查看导入表,并进行分析。


我当时看到这些导入表,我就觉得不对劲,为什么呢?一个CM需要这么多的东西么?除了反调试,之类的,一个CM需要调用这么多东西? 逐个分析,挑出敏感的来分析



敏感1comdlg32.dll|comdlg32.dll是什么进程|comdlg32.dll病毒?有些情况下你看到的comdlg32.dll这一进程,实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码,网上银行以及各种隐私数据。成为了一个极大的安全隐患。惊现“comdlg32.dll”文件遭病毒感染,百万网游玩家受盗号威胁!

comdlg32.dll是什么?
   comdlg32.dll是一个进程,它是微软视窗操作系统中的一部分。在系统中主要负责会话管理子系统电脑配置:(WWW.0731WX.COM)。这个进程作为计算机正常、稳定运行所必须的项目,不应被随意终止以免造成不必要的麻烦。



敏感2:ws2-32.dll 系统文件ws2_32.dll是存放在Windows 系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是 流氓软件篡改导致ws2_32.dll 

这是丢失或被篡改的风险:

 1、桌面图标无法删除2、网络游戏打不开3、电脑无故蓝屏4、电脑没声音5、 桌面无法显示6、主页被修改为网址导航


敏感3oleaut32.dll

1.系统弹出“oleaut32.dll无效的windows映像提示 2.系统弹出应用程序无法启动此程序,因为计算机中丢失oleaut32.dll。尝试重新安装该程序以解决此问题提示。


敏感4gdi32.dll

系统文件gdi32.dll是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。除非用户电脑被木马病毒、或是流氓软件篡改导致出现gdi32.dll丢失、缺失损坏等弹窗现象


最敏感的还是第一个吧!2,3,4都是来划水的,无伤大雅。



0x03 分析感染后的行为特征

这是感染后的第一个特征,病毒文件替换了某些系统文件,导致了这个窗口,


第二个特征就是 此款病毒会感染你的dll exe html文件,每次运行的时候会进行一次生成另外一个带有原名字的一个EXE.

为了真实模拟被感染的情况,我用到了影子系统。


这是脱壳之后的病毒,我们直接运行


我运行病毒之后 

很清楚的看到 我在运行PEID,会生成一样的带有Srv的一个exe程序。

这是它的第二个行为。 

IDA可以查看它的调用,我对IDA的使用并不熟悉,所以,暂时基本上就分析到这。

文件已打包,会的大佬拿去分析一下。(顺带教教我,我是一个只会OD的小学生)




0X04 各大病毒分析平台分析的数据

VirSCAN.org-的结果如下

我大360还是很强的。

virustotal扫描结果如下:

很清楚的看到,病毒的原形叫ramnit

ramnit.a(win32 ramnit a 病毒)Ramnit是一种蠕虫病毒。它能够感染用户计算机系统中的.exe、.dll和.html文件。
W32.Ramnit将自身加密以后附加到目标文件中。当被感染的文件运行时,该蠕虫会被释放到当前目录并被命名为[InfectedFilename]Srv.exe,然后执行。同时在%\ PR ogramFiles%\目录下增加一个MNetwork目录。感染该病毒的计算机会试图连接到网站rmnz[removed]ed.com,从该网站下载.dll文件注册到系统中。
该病毒主要通过移动存储介质进行传播。传播时,它会把自己拷贝到移动存储设备根目录下面的Recycle Bin目录中,同时创建autorun文件以达到自动启动的目的。


究其来源发现大部分感染的新机器主要来自于外挂辅助程序游戏登录器账号获取器以及其他病毒携带

  外挂辅助程序主要从网络上下载以及接受QQ好友的文件淘宝的聊天文件等这些文件本身大部分已经被感染一部分会投放该感染病毒目前发现投放该病毒的有迅雷VIP获取器反恐登号软件登录器等该病毒还会借助蠕虫病毒在网络上传播感染量巨大


CatGames给出的防御方式:人放聪明点,脑子灵活点,实在玩一些外挂,什么的不放心,直接装一个影子,开挂打游戏的时候,开影子模式(如果这个病毒能绕过影子,那你不用防御了,让他吃你的电脑吧。)建议下载360安全卫士进行杀毒。


更详细的分析请看腾讯实验室的文章(我这种小打小闹都不算,去看看腾讯工程师的吧)https://slab.qq.com/news/tech/1289.html

病毒文件,我已经放在了附件,各位大佬自己下载,顺带会IDA的教教我IDA 或者甩我个教程也是可以的。嘻嘻!

看完腾讯的分析,看看人家用IDA,我用OD,没意思!唉

打赏我,让我更有动力~

5 Reply   |  Until 2018-7-31 | 1287 View

catgames
发表于 2018-7-31

什么鬼垃圾文本编辑框?我整理的好好的一发表就全乱了?

评论列表

  • 加载数据中...

编写评论内容

catgames
发表于 2018-7-31

看完大佬的分析 算了 放弃了 

我去学IDA了 唉!!!生活 还要继续

评论列表

  • 加载数据中...

编写评论内容

catgames
发表于 2018-7-31

大牛勿喷 别问我这是哪门子分析 这个是我看了恶意代码与实战这本书的那个视频教程学的.....虽然没看完

评论列表

  • 加载数据中...

编写评论内容

catgames
发表于 2018-7-31

反正我现在是没有见过能杀掉影子的病毒....听说过 很多人说 但是没人拿出真东西说话

评论列表

  • 加载数据中...

编写评论内容

catgames
发表于 2018-7-31

对了 如果谁有IDA PRO的教程 可以甩我一个 谢谢

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3