首页
论坛
课程
招聘
雪    币: 2250
活跃值: 活跃值 (30)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝

[病毒木马] [原创]【病毒木马】捆绑包驱动锁首病毒分析

2020-2-22 17:16 2636

[病毒木马] [原创]【病毒木马】捆绑包驱动锁首病毒分析

2020-2-22 17:16
2636

这是个锁定主页的病毒,行为很多,逆向一下他的方法,很有参考价值,捆绑包诱惑执行的样本

被劫持的主页

病毒来源


病毒会掺杂在破解版文件中,并让推出杀软放松警惕运行

 

行为图



释放的文件 绿化工具.exe逻辑,查找资源zip,zip资源是一个压缩包,里面还存放着5个文件,但是他们都是经过zlib压缩的数据块,并不能直接解压



经过第一个res_zip_unpack函数解压后,在第二个函数get_sssbat_data中再次使用zlib解压sss.dat配置数据,然后获得一些稍后需要用到的数据。


这个文件是经过zlib压缩的数据,在函数中用zlib解压还原。

(因为遇到过很多使用zlib压缩数据的病毒或数据,所以简单写了个命令行工具来解压或压缩数据文件,cczlib.exe)


在函数get_infomation_create_config中获取一些信息,创建XXXXXXX__config.dat文件,这也是一个经过压缩的配置文件,创建com对象构建稍后的劫持dll


函数cmp_system_createfile_safe32_zip根据系统来创建safe32/64.zip文件,创建的位置是:C:\Program Files\Common Files\System


函数uncode_arr_reg_safemonn64解密代码,读取配置信息的内容创建注册表项,为劫持explorer做准备

函数 cmp_system_create_dll创建文件到指定目录C:\Program Files\Common Files\System (根据系统释放64/32dll)


find_explorer_exe_process遍历explorer窗口,关闭进程后重启进程,explorer加载释放的safemonn32.dll


reare_unit_bat_run创建bat文件并执行,行为是删除自身及bat文件


病毒运行起来后注册表是受到释放的驱动保护的,无法直接查看,将驱动摘除可以看到注册表的键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0OverlayIcon 

值: {8D6E9E7B-57C4-4080-AAAE-5DC03C45B9D7}

对应的CLSID\下,能够看到explorer加载的dll位置。

(但是直接拿到的文件没有DOS头并且IDA识别导入表也是异常的,所以为了方便我设置了读取该文件规则,调试器附加explorer将dll给dump下来修复后查看)


Safemonn64/32.dll的逻辑相当于一个加载器与下载器,会加载绿化工具.exe释放的文件模块加载解密执行,explorer重启后执行dllmain,获取一些系统、模块等信息后将自身读到内存,映射到共享内存,并执行,检测自己需要的文件不符合则下载,并卸载自身模块。这样不但在explorer中使用工具查看不到该异常模块,还能够执行代码,逃避检测。

我也确实在这耗费了时间。然后设置规则附加dump到的。


获取一些时间信息,读取解压缩safe.zip,准备执行。


执行:


downfile:


卸载自身:


在内存中会加在safe.zip,然后解压执行:

Safe32.zip逻辑:查找资源、获取配置信息、创建病毒文件、驱动、创建注册表、劫持主页等。

判断信息,创建第一个线程执行下列函数,都有各自功能


获取浏览器的信息,这些浏览器都会被劫持。


safe_json_info会配置一些信息,在下面的load_json_info中使用


 create_process_injection("C:\\Windows\\System32\\sort.exe", v3, (int)lpBuffer, 0); //创建远程注入,傀儡进程


为了劫持inlinehook_fun();inlinehook一些CreateFileW等函数。CreateProcess创建后会检测添加参数


设置钩子



创建第二个线程、添加驱动的及其他注册表、创建病毒文件、驱动并加载。


创建一个窗口,根据注入到explore的dll创建的窗口查找此窗口来传输指令,劫持、下载病毒文件等。


驱动逻辑,保护注册表、检测文件是否存在并还原、检测注入的进程等等。



检测不存在的文件进行还原


接受用户层控制码删除回调


在资源中还有一些病毒文件,作用也是劫持主页mini32.dll等文件,但是那个应该是驱动层注入到浏览器中实现劫持的,但是并没有使用

该病毒不仅仅锁定主页,还会获取用户电脑的一些信息,与服务器交互等等。

SHA1: 757e670bd0b26cf6c03ac43ffccb2fb3f64044ac      

SHA256: 7a21d991ebef71929ab181a1c5e10ff9b2100f875c122f0a4d9a49f306c088b7 

MD5: 9a66fec14bdd25d2a767f25e04589c40                

LsHashS: 11b50f9879d19da30f1d553da0d381f70b2f1d1475607b51d70bb83f31b5a119    

样本过大,想要看的可以自行去网站下载排行榜上的软件(我下载这个样本是捆绑在迅雷9破解版里的,很多都捆绑了病毒)

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最后于 2020-2-22 17:44 被驱动骑士编辑 ,原因:
最新回复 (12)
雪    币: 1201
活跃值: 活跃值 (125)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
dx苹果的心愿 活跃值 1 2020-2-22 17:26
2
0
写的不错,赞一个。
雪    币: 287
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cavan 活跃值 2020-2-22 20:14
3
0
https://www.sohu.com/a/216175708_354899
雪    币: 1004
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gaveu屯烫烫 活跃值 2020-2-23 11:12
4
0
学习了!
雪    币: 2112
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xghoecki 活跃值 2020-2-23 12:53
5
1
感谢分享
雪    币: 76
活跃值: 活跃值 (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kongfubull 活跃值 2020-2-25 09:22
6
0
话说这些下载站搞这些事情,就没有人管么
雪    币: 4768
活跃值: 活跃值 (2500)
能力值: (RANK:65 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-2-26 16:24
7
0
此文再来些文字描述些原理就更棒了
雪    币: 40
活跃值: 活跃值 (37)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2020-2-26 20:32
8
0
已阅
雪    币: 3978
活跃值: 活跃值 (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
大道在我 活跃值 2020-2-27 02:06
9
0
我也中过这种病毒,当时电脑卡得很,explorer进错占用内存很大
雪    币: 1173
活跃值: 活跃值 (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
caolinkai 活跃值 2020-2-28 14:07
10
0
kongfubull 话说这些下载站搞这些事情,就没有人管么
没人管
雪    币: 40
活跃值: 活跃值 (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killleer 活跃值 2020-2-28 21:33
11
0
楼主可以把病毒上传一下蓝奏吗?
雪    币: 265
活跃值: 活跃值 (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
niuzuoquan 活跃值 2020-2-28 22:01
12
0
mark
雪    币: 151
活跃值: 活跃值 (78)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cxbcxb 活跃值 2020-3-2 21:32
13
0
电脑也中这个毒,不知道怎么解
游客
登录 | 注册 方可回帖
返回