勒索病毒

文章目录

  • 0x01 样本概况
    • 样本信息
    • 测试环境及工具
    • 分析目标
  • 0x02 行为分析
  • 0x03 从混淆代码中提取恶意代码
    • 申请内存
    • 创建进程
  • 0x04 分析流程
    • 提权函数

0x01 样本概况

样本信息

大小: 327680 bytes
修改时间: 2017年4月13日, 15:30:22
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
勒索病毒_第1张图片

测试环境及工具

软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer

分析目标

病毒主要行为
病毒传播原理
查杀方法

0x02 行为分析

将系统内的文本、文档等文件加密,
每个文件夹都会生成文字版和图片版的勒索信息
程序会自我删除
程序会添加启动项,伪装成cmd,在cmd后面添加启动参数

0x03 从混淆代码中提取恶意代码

申请内存

Virtuall下断点,virtuall肯定是在第3个之后,也就是第4下硬件写入断点是49所以不是,,第4个就是3ac00 是大小也就是镜像大小
勒索病毒_第2张图片勒索病毒_第3张图片dump后结果
勒索病毒_第4张图片

创建进程

CreateProcessW下硬件执行断点,看到有进程挂起了,因此要WriteProcessMemory进行下硬件执行断点,查看往buffer里面写数据,
然后进行dump是根据经验
勒索病毒_第5张图片

0x04 分析流程

勒索病毒_第6张图片两个GetProcAddress函数之后的函数sub_402170 不清楚是干什么的 我们跟进去看看
勒索病毒_第7张图片勒索病毒_第8张图片勒索病毒_第9张图片运行结果如图内存示意图,得知该函数是解密字符串的函数由此图与上图比较可知该函数是用于去掉后缀名后边的“;”的
文本Unicode的64位
勒索病毒_第10张图片勒索病毒_第11张图片勒索病毒_第12张图片

提权函数

勒索病毒_第13张图片

勒索病毒_第14张图片勒索病毒_第15张图片也就是说 该函数是要获取环境变量名为“windir”的内容、并存到0x12BB90中其结果为“C:\Windows”
勒索病毒_第16张图片
勒索病毒_第17张图片
#0x05 总结
勒索病毒最常见的免杀手段就是加混淆,类似壳,初学病毒分析往往会停在这个地方,但经过周密的分析还是可以提取到恶意代码,然后在进一步分析。勒索病毒现在已经横扫全世界,只是一味的分析样本是改变不了中病毒的宿命的,所以我们接下来要考虑的就是写一个工具防止勒索病

你可能感兴趣的:(病毒,od,字符串,特征码,注册表)