一個鏈接引發(fā)的“惡意執(zhí)行”-創(chuàng)新互聯

引子:
最近研究算法上癮了,也分析了一些最新的惡意軟件(后續(xù)更),今早瀏覽樣本的時候發(fā)現一款老病毒,大體分析了一下,還算有趣所以簡單分享一下。

病毒分析:
1、解壓樣本后,只發(fā)現了一個鏈接??鏈接名叫賬號密碼,我第一次看到竟然雙擊了(其實知道有隱藏文件,習慣性的操作很可怕),雙擊后感覺就中招了,如下所示:

創(chuàng)新互聯建站從2013年創(chuàng)立,是專業(yè)互聯網技術服務公司,擁有項目網站設計、成都網站設計網站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元鶴山做網站,已為上家服務,為鶴山各地企業(yè)和個人服務,聯系電話:028-86922220

一個鏈接引發(fā)的“惡意執(zhí)行”
圖片一:樣本
2、右擊查看一下鏈接屬性及鏈接位置,發(fā)現是一個該文件夾下vb腳本的快捷方式,調整一下文件夾顯示屬性:
一個鏈接引發(fā)的“惡意執(zhí)行”
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片二:VBS
3、用010打開.vbs來看一下代碼,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片三:隱式執(zhí)行
4、利用shell執(zhí)行了~\jpg.exe,打開文件夾繼續(xù)跟中一下,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片四:隱士文件夾
5、文件夾中有jpg.jpg圖片,還有.ini初始化文件,怎么下手分析?Shell對象執(zhí)行了jpg.exe,那么靜態(tài)分析,不過先看一下jpg圖片與.ini數據,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片五:數據查看
6、IDA中靜態(tài)觀察一下jpg.exe安裝程序,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片六:jpg.exe
7、因為是分析過了,所以函數名稱已改成WriteLog,進入函數分析一下:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片七:追加(創(chuàng)建)日志
8、日期格式化輸出,寫入文件,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片八:C標準文件流
9、然后設置了環(huán)境變量等屬性,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片九:環(huán)境屬性
10、分享一段匯編代碼,memset的匯編原理,從匯編來看,真的是高效率(論時效)如下:

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

來看rep stos這條指令,如下所示:

操作碼 指令 詳細
F3 AAREP STOS m8使用 AL 填寫位于 ES:[(E)DI] 的 (E)CX 個字節(jié)
F3 ABREP STOS m16使用 AX 填寫位于 ES:[(E)DI] 的 (E)CX 個字
F3 ABREP STOS m32使用 EAX 填寫位于 ES:[(E)DI] 的 (E)CX 個雙字

 11、IDA整體瀏覽了一下,發(fā)現每一個操作都會有詳細的日志記錄,而且以Entry -- Leave為完成標志,日志記錄如下:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十:日志記錄
解析整個流程如下:
1、進入Setup.exe安裝
2、調用了SetEnvironment
3、環(huán)境變量SetupExeLocation設置為C:\Users\15pb-win7\Desktop\當前路徑
4、環(huán)境變量PROCESSOR_ARCHITECTURE設置為x86
5、SetEnvironments返回1成功
6、CmdLine:baidu.com 文件名稱
7、創(chuàng)建了注冊表:
8、離開了Setup.exe
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十一:注冊表創(chuàng)建
12、上面步驟是以日志過程分析的,根據實際匯編來看,創(chuàng)建進程以后才會進行注冊表操作,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十二:創(chuàng)建進程
13、剩下的就是命名為baidu.com.exe的可執(zhí)行文件了,火絨見先運行看看行為,運行后竟然彈出了jpg,jpg的圖片,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十三:baidu.com.exe
14、這時候捋一捋,雙擊最開始快捷方式-->會執(zhí)行VB-->執(zhí)行jpg.exe-->執(zhí)行baidu.com.exe打開圖片.。
意味著雙擊快捷方式就會打開圖片,其實已經運行了惡意程序baidu.com.exe程序,圖片是為了偽裝,迷惑受害者,以為雙擊的快捷方式就是一個圖片(文章最后附整個思維導圖)。
15、看一看火絨劍的監(jiān)控信息,有明顯的連接發(fā)送socket網絡,意味著數據的泄露與惡意盜取,有著特洛伊的特性(遠控),如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十四:行為監(jiān)控
16、先線上分析一下,看一下更為精準的惡意描述,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十五:線上分析

17、線上分析辨別出這并不是一個高危病毒(雖然不一定準確),有url與ip,意味著可能會下載惡意代碼和上傳系統(tǒng)/個人敏感數據。
其實這個沒有殼,一開始已經拉入PDIE查看了基本信息,但是又壓縮與加密函數,補圖一張,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十六:PEID分析
因為本篇帖子重點不是樣本分析,所以最后樣本不進行詳細分析,整篇帖子注重于整個手法與偽裝手段,如下所示:
一個鏈接引發(fā)的“惡意執(zhí)行”
圖片十七:思維導圖

另外有需要云服務器可以了解下創(chuàng)新互聯scvps.cn,海內外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。

文章名稱:一個鏈接引發(fā)的“惡意執(zhí)行”-創(chuàng)新互聯
網頁路徑:http://muchs.cn/article12/cdcgdc.html

成都網站建設公司_創(chuàng)新互聯,為您提供品牌網站建設動態(tài)網站、網頁設計公司、營銷型網站建設做網站、外貿建站

廣告

聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯

成都網站建設公司