一个加密病毒的分析

实验环境:win7 x64
样本信息:(微步获取)


分析工具:火绒,x64dbg,IDA
一:在虚拟机中运行一下,看一下病毒的运行效果
启动前:(笔者创建了一个txt文件进行测试)

启动后:(文件都被加密了)

病毒作者留下的联系信息:

二:分析一下病毒文件的行为(使用火绒来监控病毒行为)
一大堆事件信息,头皮发麻:

三:静态分析前置操作
查一下壳:没发现壳的信息,程序是用C++13编写的

字符串中发现了加密算法:发现在两个函数中引用,推测应该就是加密函数了

只有一个区块,推测应该是做了一些处理:

查看导入表发现调用了一些敏感函数如文件遍历的相关函数,及在注册表等操作的相关函数

四:分析
mian函数中只调用了一个函数


我们跟进去看一看(push一堆值,调用了这个函数,这是一个关键函数,从后面分析来看,这是个解密函数,本文以下简称为解密函数)


跟进408B19函数,里面有点乱,我们动态分析一下,调试分析了一下发现一大堆的数据


继续动态调试,来到409CE7处,该处调用了GetModuleFileName函数来获取文件:
本机文件的具体地址:0040CAB8:&L"C:\Users\test\Desktop\a.exe"
接着又调用了解密函数


解密的结果为.Snake4444,这是加密文件的后缀


我们还看见了HOW…..这是作者留下的解密信息文件,推测后续操作应该是解密相关信息并写入文件
接着向下看,来到了4088F4函数,这是一个获取相关硬件信息的函数,留着给后面加密函数使用


继续向下看,我们发现了这个函数,该函数的功能是获取系统环境变量,同时如果第一次获取不成功的话就在获取一次,两次都不成功就退出,主要是获取LOCALAPPDATA或APPDATA环境变量


获取成功的话就在字符串末尾添加反斜杠


接着获取到文件名,最后将自身拷贝到local目录下


接着进行注册表操作


接下来是文件的相关操作,我们进入函数分析一下


进入以后首先看到的是创建文件,写入了一个文件,文件推测为公钥


继续跟着流程走,走到了我们的加密函数了,生成RSA密钥对


接着走,发现了遍历磁盘的操作


同时根据遍历的结果来创建线程,推测接下来应该是进行加密操作了,动次动态调试后可以确定4099A3就是加密函数


接下来我们分析一下409449这个函数


这个函数的主要功能是创建一个BAT文件,推测这个.bat的文件应该是做一些清理工作


在X64中下断409449函数动态调试发现实在这个目录下创建文件


tmp85c2.tmp.bat的文件内容


调用CMD命令删除病毒文件


总结:以前总是喜欢静态分析,但这个病毒的一些函数只看静态的话有些看不懂,还是要多多练习一下动态调试的能力

本文来源于: https://xz.aliyun.com/t/9388

相关推荐

内网渗透--对不出网目标的打法

文章简介 这篇文章使用红日渗透靶场(一)来进行练习对内网不出网机器的渗透,在这里感谢师傅们提供了现成的靶场环境,供我们小白来进行学习和练习。这个靶场设计的比较简单,但是通过这个靶场环境,采用多种手段进行渗透,可以使自己在没有那么多授权的真实

记一次完整的内网渗透经历

故事的起因比较简单,用三个字来概括吧:闲得慌。 因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。 简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很

JWT攻击学习

JSON Web Token(JWT)是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证 cookie /session /jwt 不同点 1.对于一般的cookie,如果我们的加密措施不当,很容易

常见横向移动与域控权限维持方法

横向移动 PTH 如果找到了某个用户的ntlm hash,就可以拿这个ntlm hash当作凭证进行远程登陆了 其中若hash加密方式是 rc4 ,那么就是pass the hash 若加密方式是aes key,那么就是pass the k

无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)

题目例子 <?php error_reporting(0); highlight_file(__FILE__); $code=$_GET['code']; if(preg_match('/[a-z0-9]/i',$code)){ die('

四大主流WebShell管理工具分析 | 防守方攻略

前言 在网络安全实战攻防演练中,只有了解攻击方的攻击思路和运用武器,防守方才能有效应对。以WebShell 为例,由于企业对外提供服务的应用通常以Web形式呈现,因此Web站点经常成为攻击者的攻击目标。攻击者找到Web站点可利用的漏洞后,通

最简单的加载器免杀思路

最简单的加载器免杀思路 将加载器的变量每次生成都要随机也就是变量混淆, 同时在每行之间插入无效指令:比如随机打印,循环打印,随机数计算加减乘除 这个思路的主要作用是加载器伪装。不管shellcode如果变化加密解密,最后都要回到这个模板里面

2021腾讯游戏安全技术初赛PC客户端解题报告

PC客户端初赛赛题解题报告 概述 本题是一个windows 32位opengl游戏程序,打开发现是一个3d游戏,视角移动受限,未提供坐标移动功能,无法看到屏幕中央箭头指向的区域。 使用ida搜索字符串可以发现使用的glfw版本为3.3,并且

记一次靠猜的.net代码审计拿下目标

0x00写在前面 在一次授权的实战测试中,需要拿到某OA的权限,经过top500的姓名+top100的密码,爆破出来几个账户,有了账户,进入oa内部,通过上传很轻松的就拿到了shell,但是客户不满足于此,要求找到未授权的RCE.有了she

网络空间搜索引擎的区别

网络空间搜索引擎的区别 ### fofa fofa是白帽汇推出的网络空间测绘引擎。白帽汇是一家专注于网络空间测绘与前沿技术研究的互联网安全公司,主要从事网络安全产品开发与服务支撑等相关工作,为国家监管部门及政企用户提供综合性整体解决方案,有

D-Link路由器漏洞研究分享

0x0 前言 D-Link DIR-816 A2是中国台湾友讯(D-Link)公司的一款无线路由器。攻击者可借助‘datetime’参数中的shell元字符利用该漏洞在系统上执行任意命令。 0x1 准备 固件版本 1.10B05:http: