目录
1.样本概况
1.1 样本信息
1.2 测试环境及工具
1.3 分析目标
2.具体行为分析
2.1 主要行为
2.1.1 恶意程序对用户造成的危害
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等
4.致谢
1.样本概况
1.1 样本信息
病毒名称:哈希值
所属家族:Trojan.Win32.Kryptik.jsff (腾讯) HEUR/QVM07.1.Malware.Gen (360)
MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1值:863F5956863D793298D92610377B705F85FA42B5
CRC32:1386DD7A
病毒行为:
此恶意软件主要通过给特定文件类型进行Rsa加密的方式阻止用户访问这些文件,并显示图片与文本类型的勒索信息要求受害者支付比特币以购买解锁密钥。恶意程序还修改了注册表实现了开机自启动与阻止用户特定行为(如打开任务管理器等)。
1.2 测试环境及工具
1.3 分析目标
2.具体行为分析
2.1 主要行为
通过微步云沙箱和火绒剑观察存在以下行为:
1缓冲区发现一个PE文件Buffer with sha1:826ccd5c2535360915fe9f81ac8b3663b21be285
2通过注册表键来检测是否安装了常见的反病毒软件HKEY_LOCAL_MACHINE\SOFTWARE\ESET
3自删除C:\Users\vbccsb\AppData\Local\Temp\wanna.exe
4一个进程创建了一个隐藏窗口filepath :C:\Windows\System32\cmd.exe
5将fxsaqq.exe文件属性设置为隐藏
6检测是否有调试器运行IsDebuggerPresent
7在表示C2或勒索软件域名/消息的进程内存转储(memory dump)中找到与洋葱网络(TOR)
8相关的URLs http://www.torproject.org/projects/torbrowser.html.en
9删除从互联网上下载文件的痕迹
C:\Users\vbccsb\AppData\Local\Temp\wanna.exe:Zone.Identifier
C:\Users\vbccsb\Documents\fxsaqq.exe:Zone.Identifier
11修改其他进程的内存数据
12启动一个进程并注入代码,可能在脱壳
由此在创建傀儡进程api CreateProcessW 处下断点
看见创建了一个进程并挂起
挂起状态的程序可能调用WriteProcessMemory改写进程内的数据
看出是将将0x3A0000中的内容拷贝至0x400000中 由此可以得知0x3A0000中的内容可能是我们需要的PE文件,找到缓存文件的oep为147F0。
在唤醒处下api断点
在OD中附加看不到另外一个创建的exe
只好使用下面的的工具查看
在那里使用插件dump出恶意程序体
发现dump出来的pe文件运行不了
然后要将其oep改成原来的oep
然后在OD中可以执行
当然可以去掉随机基址进行调试
拖进IDA中结合分析
调用GetModuleFileNameW这个函数,返回的是文件所在的位置
调用DeleteFileW这个函数来删除桌面的文件
完成字符串的拼接,得到的拼接后的文件路径为: "C:\Users\15pb-win7\Documents\xxx.exe"(文件名是随机的)。
调用了CopyFileW这个函数,把桌面上的病毒文件拷贝到:
"C:\Users\15pb-win7\Documents\xxx.exe"里面
调用SetFileAttributesW这个函数,设置文件的属性为0x02,参数0x02意思是该文件是隐藏的。把自己复制到别的地方,并且改名又隐藏
调用函数CreateProcessW创建进程,运行起来的进程正是复制到C盘目录下的那个文件
这个函数把传入的字符串进行拼接,好像成了一条命令:
"/c DEL 路径",接下来要使用cmd命令
调用了函数:GetEnvironmentVariableW(是一个从调用该函数的进程的环境变量中返回指定的变量名值的函数,主要参数有lpName、lpBuffer等),这块传入的参数是: "ComSpec",得到的是cmd命令所在的路径。
调用函数ShellExecuteW,
ShellExecute的功能是运行一个外部程序(或者是打开一个已注册的文件、打开一个目录、打印一个文件等等),并对外部程序有一定的控制。运行完之后程序就结束了,没有发现什么不轨的动作,但是他却有打开另一个相同的进程,只是进程路径不一样,那么这个程序就很有可能是判断自己是不是在某个特定的文件夹里面,然后再进行恶意动作
换到之前打开的新的进程去分析。调用函RegCreateKeyExW用来创建指定的注册键。
调用函数RegQueryValueExW检索一个已打开的注册表句柄中,指定的注册表键的类型和设置值。
对注册表进行的操作,我们等程序运行之后打开注册表看看,果然有在注册表中添加启动项。
调用函数CreateFileW,创建了一个名为"C:\Users\15pb-win7\Documents+REcovER+随机名+.txt"的文件,调用函数WriteFile写入文件,这个txt文件是病毒释放出来的恶意文件。
调用函数GdipCreateBitmapFromHBITMAP创建图片 +REcovER+随机名+.png
创建了不止4个线程,过滤一波发现四个问题比较大的线程
406EB0处的线程遍历进程,若发现任务管理器,注册表管理器,进程查看器,配置查看器或命令行工具时即将其关闭
如果不是windows,programfiles,program data的文件夹,那么就进入函数0x401C85进行加密操作,里面有一系列的读写文件的操作,这个应该是对文件进行了加密操作
在地址0x0040730E上调用函数ShellExecuteExW,一个可疑的调用。看看他的参数,是以管理员权限运行一行命令,其中参数:Delete Shadows /All/Quiet的作用是:删除所有数据备份。
4072A0处的线程执行了vssadmin.exe删除了所有卷影副本
连接网络的最后,在地址0x410aa4上调用函数ShellExcuteW打开cmd运行了一串命令:"/c DEL 路径 >>NUL",删除自己
2.1.1 恶意程序对用户造成的危害
1、修改注册表启动项
2、随时关闭相应进程如:任务管理器,cmd等
3、文件加密
4、释放恶意文件
5、进行网络连接
3.解决方案(或总结)
3.1 提取病毒的特征,利用杀毒软件查杀
特征包括:网络ip,字符串等等
后续添加
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
如果程序还在运行中可以使用火绒剑关闭其进程和换掉名字的进程C:\Users\win7\Documents\xxx.exe。这样就可以打开注册表工具进行删除多余的恶意启动项了。至于加密后的文件暂时没想到修复方案。
4.致谢