木马病毒分析

一、病毒简介

这款木马从恶意网址下载东西,然后修改本地文件;

SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07

MD5:56b2c3810dba2e939a8bb9fa36d3cf96

SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc

二、行为分析

首先看看微步云沙箱分析:

木马病毒分析_第1张图片

木马病毒分析_第2张图片 

木马病毒分析_第3张图片 

 

恶意服务器网址:[ddos.dnsnb8.net]

接下来看看火绒剑监控结果:

木马病毒分析_第4张图片

 

这边有大量的对本地文件修改;

木马病毒分析_第5张图片

 

最后是一个自删除。

三、静态分析

首先查壳:

木马病毒分析_第6张图片

 

通过x32dbg脱壳:

木马病毒分析_第7张图片

 

看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:

木马病毒分析_第8张图片

 

走到ret,进入OEP脱壳:

木马病毒分析_第9张图片

 木马病毒分析_第10张图片

 

注意一下OEP这里:

木马病毒分析_第11张图片

 

接下来拖到IDA中,根据之前OEP那里,找到关键位置:

木马病毒分析_第12张图片

 

木马病毒分析_第13张图片

 

进入函数1371638:

木马病毒分析_第14张图片

 

这里是获取临时文件夹路径,系统目录以及当前进程路径等,随后进入137139F,箭头所指:

木马病毒分析_第15张图片

 

 

返回之后,继续向下走:

木马病毒分析_第16张图片

 

进入第一个箭头所指:

木马病毒分析_第17张图片

 

这里是下载文件并启动,进入第二个箭头:

木马病毒分析_第18张图片

 

函数sub_1371973:

木马病毒分析_第19张图片

 

那么这个函数就是拷贝自身到临时路径下,并读取自身内容,返回进入线程回调函数:

木马病毒分析_第20张图片

木马病毒分析_第21张图片 

 

这里获取驱动器盘符类型,如果大于1不等于五,进入开辟线程:

木马病毒分析_第22张图片

 

进入回调函数,进入sub_13728B8:

木马病毒分析_第23张图片

 

这里是筛选exe和rar后缀文件,进入sub_137239D函数:

这里是对文件进行写入操作;这里就是遍历目录,筛选exe和rar后缀,对这类文件进行写入;

第三个箭头就是删除文件类操作。当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。

你可能感兴趣的:(漏洞,网络安全,安全,运维)