首页
论坛
课程
招聘
[旧帖] 某病毒分析与专杀 0.00元
2015-7-7 01:42 2748

[旧帖] 某病毒分析与专杀 0.00元

2015-7-7 01:42
2748
    第一次发帖,申请账号这么长时间了,还没转正,希望论坛大大能把我转为正式会员,好了切入正题

此病毒是同学电脑里面发现的,很恶心会全盘PE感染和Html感染,不过感染规则还好,幸好可以修复
分析文件:
病毒主体文件:Desktop.exe
默认浏览器:UC浏览器
分析工具:
OD

1.用OD载入Desktop.exe,UPX壳不脱也罢直接跳到入口点处


2.程序进行了乱跳和混淆处理先不看,直接对文件,进程线程,注册表,网络操作函数下断点,先摸清楚大体方向


3.果然露出了马脚



4.创建互斥防多开


5.挂钩ZwWriteVirtualMemory



6.创建UC浏览器进程

注入过程如下:
    a.读取浏览器基地址

    b.在内存中解析PE读取OEP(RVA)

    c.为浏览器申请5段空间,写入注入代码,最后次写入的是注入OEP(VA)处12字节的代码


7.改变注入OEP的第一个字节,将0xBF改为0xCC让浏览器主线程跑起来后触发断点异常,被OD接管,准备调试浏览器



8.浏览器里面会动态LdrGetProcess获取需要的函数填写IAT


9.创建1号线程定时循环改写注册表启动项


10.创建2号线程Socket连接远程服务端获取需要的信息,因远程段没开,无法确定要干嘛


11.创建3号线程全盘感染PE文件和Html文件


12.这个病毒因为联网的各项功能都废了,所以主要处理的应该是本地磁盘的感染修复,病毒查杀,所以下面的分析文档和查杀会详细介绍

病毒分析xx.rar

【公告】看雪团队招聘安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 1202
活跃值: 活跃值 (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
suifengqy 活跃值 2015-7-7 20:54
2
0
伟哥表示不服
雪    币: 245
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
牛头德鲁伊druid 活跃值 2015-7-7 20:56
3
0
楼主,难道我们是同学?
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
heavenn 活跃值 2015-7-7 21:02
4
0
分析的不错
雪    币: 69
活跃值: 活跃值 (22)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
FadeTrack 活跃值 1 2015-7-7 21:19
5
0
很好,很详细。顶
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
弓bottom长 活跃值 2015-7-8 21:07
7
0
不服来打我啊
雪    币: 381
活跃值: 活跃值 (22)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
BinGzL 活跃值 1 2015-7-11 09:32
8
0
发图发的很累吧
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
弓bottom长 活跃值 2015-7-11 12:07
9
0
传说中的截图工程师……
雪    币: 381
活跃值: 活跃值 (22)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
BinGzL 活跃值 1 2015-7-11 12:19
10
0
应该可以转正
游客
登录 | 注册 方可回帖
返回