一、病毒简介
SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1
MD5:0902b9ff0eae8584921f70d12ae7b391
SHA1:f71b9183e035e7f0039961b0ac750010808ebb01
二、行为分析
同样在我们win7虚拟机中,使用火绒剑进行监控,分析行为特征:
首先是一个拷贝自身,而在后面也被行为检测标蓝;
其次就是大量的枚举进程;
这里启动了释放的文件,并设置了自启动;
结合这里,获取信息没有和服务端取得联系,IP已经失效,所以在火绒剑中也没有检测到网络链接。
三、逆向分析
拖进DIE查查壳,显示无壳:
看看导入表信息:
这里有检索主机信息之类的函数,还有网络链接之类的函数,基本可以确定大致行为,结合这里,在IDA中静态分析,进入winmain,F5看伪代码:
以上就是main函数主体,接下来对关键函数进行详细分析:
3.1、sub-406A30
进入函数内部,是俩个函数:
根据特征,很明显这里是rc4的解密,当然我是动态调试直接看他解密结果,解密一个服务名,一个IP地址,SuperProServer和127.0.0.1;
3.2、sub-4056C0
这里获取当前进程路径;
这里生成随机数并进行拼接,生成一个路径,创建一个文件并写入内容;
这里进行shell启动进程,可见这里是一个拷贝自身并启动的操作;
3.3、sub-406B50
进入此函数,内部有函数sub_407660,根据传参是rundll32.exe,进入此函数:
可以看到这里是进程遍历,返回进程信息,回到上一层:
这里是启动命令行杀掉rundll32.exe,返回主函数;
3.4、sub_4070E0
进入函数内部:
可以看到这里是设置病毒为服务并设置相关注册表版本类信息;
3.5、sub-407660
这里是循环三次,找病毒本体,通过函数40766寻找,找到后进行启动,进入函数内部:
这里是创建快照找相应进程的操作,而传入的参数就是Terms.exe;
3.6、sub_405480
这里是设置自启动;
3.7、sub_406B10
跟进此函数:
3.7.1、sub_406290
进入406170:
这是一套令牌提权的组合拳,返回上一层;
这里是拿到句柄复制句柄;
3.7.2、sub_4066C0
这边就开始和服务通信sub_401470:
sub_401660:
这里有一个开辟线程,进入回调函数发现,是和服务器链接,接受内容,并通过rc4解密,在自身开辟空间,进行写入操作,后面这块分析比较粗浅,但大体内容就是这些;