首页
论坛
课程
招聘
[原创]刚入行时分析的病毒好像又出来了
2022-4-8 15:58 9713

[原创]刚入行时分析的病毒好像又出来了

2022-4-8 15:58
9713

背景

今天看见群里几个学生电脑中毒了,发一篇19年该病毒的分析报告,没有技术可言,自己现在看感觉当时好像做了分析报告,但是好像啥都没写,hhhh(大佬们勿喷)
一个是学校通知的文档带下去的,估计是发通知的人电脑中招了(学校一般不会发送带宏的文件,大家开宏还是谨慎一点吧)
图片描述
跟他说了之后他去看了学校官网,发现全是这类木马了
图片描述
另一个是公众号下载的某盘下载器带的木马
图片描述

执行流程

图片描述

详细分析

还原程序

从EXERESX资源段获取信息

图片描述

读入到新建立文件

图片描述

执行文件

图片描述

释放病毒

首次运行

(1)判断指定目录下是否存在病毒
图片描述

 

(2)没有文件则设置缓存路径和文件,并且配置ini文件
图片描述

 

设置缓存路径及文件如下:
图片描述

 

配置ini文件提取内容及服务器和下载文件地址
图片描述

 

邮箱配置如下:
图片描述

 

感染文件和记录信息启动配置:
图片描述

 

(3)设置自启动
A.释放病毒
图片描述
B.设置自启动
图片描述
(4)是首次运行则执行病毒
图片描述

病毒执行(二次运行)

文件信息
sha256:
11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748
md5:
21DE97CF684A5D7D3197A75D0F11FFA2
sha1:
5340788DB50BC7B26D22DC48D0D24D91AA824551
文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]
文件大小 771584 字节(753 KB)
壳信息 无壳
文件描述 Synaptics Pointing Device Driver

 

(1) 感染exe文件
获取目录查找exe文件:
图片描述
设置感染标志(根据是否含有资源段EXERESX判断是否被感染):
图片描述
感染文件(在临时目录生成文件,将原文件作为资源段打包):
图片描述
(2)感染xlsx文件
查找xlsx文件:
图片描述
建立感染标记(根据文件是否含有XLSX资源段判断是否被感染):
图片描述
释放宏(在临时目录建立随机文件,将资源段XLSX资源段释放):
图片描述
感染文件(设置宏,并复制病毒到文件~$cache1):
图片描述
宏文件功能就是恢复原文件并且启动病毒,再将宏清除:
图片描述
(3)建立线程497CF0自动更新病毒版本(联网失败之后无法动态跟进,后面为静态分析)
A.在临时目录生成随机exe和ini文件
图片描述
B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行
图片描述
(4)配置server并且建立线程Start Address连接
图片描述
(5)设置设备和目录监视,记录文件操作
图片描述
(6)设置USB和键盘Hook,将信息记录到缓存路径下新建目录WS下
加载Hook的DLL:
图片描述
设置Hook启动和取消:
图片描述
图片描述
记录到文件:
图片描述
(7)建立线程传输文件到指定邮箱
图片描述
5.总结
程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件,并且在被运行时释放原程序并设置隐藏,让原文件能够正常启动,掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件,当启用宏时病毒也会被运行,是较为少见的感染方式。最后病毒通过自身的DLL设置Hook记录用户敏感信息,并且建立线程联网可以进行自动更新,下载其他病毒文件,并且获取用户的信息发送到自己的邮箱。


2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

最后于 2022-4-8 16:06 被hacktu编辑 ,原因:
上传的附件:
收藏
点赞0
打赏
分享
打赏 + 80.00雪花
打赏次数 1 雪花 + 80.00
 
赞赏  Editor   +80.00 2022/05/05 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (2)
雪    币: 37
活跃值: 活跃值 (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
轻装前行 活跃值 2022-4-11 00:19
2
0
公众号营销号
雪    币: 631
活跃值: 活跃值 (644)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
hacktu 活跃值 2022-4-11 11:20
3
0
轻装前行 公众号营销号
确实是营销号,而且还带木马
游客
登录 | 注册 方可回帖
返回