保存到桌面加入收藏设为首页
问题哥
当前位置:首页 > 随手小记

一个DLL注入病毒分析

2021-05-28 21:46:16   初七的果子狸   来源网络   635   0

一个DLL注入病毒分析

学无止境、道阻且长啊。继续分析病毒的旅程,这次是一个DLL注入病毒。

病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff
样本MD5:6E4B0A001C493F0FCF8C5E9020958F38
链接:https://pan.baidu.com/s/1zA8ZKZfCr1LjdLxWKlIf5Q
提取码:fi7k
一、基础行为分析
1、病毒查壳
无壳,也没有什么特殊信息,很正常的一个信息
一个DLL注入病毒分析
2、加密算法
含有大数运算
一个DLL注入病毒分析
3、云沙箱分析
使用微步云沙箱分析
一个DLL注入病毒分析
一个DLL注入病毒分析

一个DLL注入病毒分析
二、主要行为分析
通过火绒剑过滤进程行为,可以看到病毒释放了一个压缩包(g.zip)和一个dll文件(locale.dll),然后对资源管理器进行注入,最后自删除。
一个DLL注入病毒分析

病毒执行完成后会访问某恶意网站,从而下载所需。由于该恶意网站已被查封,故无法访问成功

一个DLL注入病毒分析
当然也可以使用fakenet模拟虚拟网络环境,这样可以更清楚的观察到病毒的操作流程

[Asm] 纯文本查看 复制代码
?
1
2
3
http://www.kahusecurity.com/downloadsConverter_v0.14.7z
 
[img]http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg[/img]

一个DLL注入病毒分析
三、恶意代码分析
1、sub_402A10
main函数首先获取进程相关联的控制台窗口句柄,以隐藏的方式运行。然后进入TraversalTerminateProcess函数,函数执行了三次,每次传入的数据都是检测工具的进程名,看到这个函数内部获取快照遍历进程,并出现TerminateProcess api函数,推测是检测是否存在检测工具并杀死检测工具进程。
一个DLL注入病毒分析
一个DLL注入病毒分析


给edx赋值路径

一个DLL注入病毒分析
一个DLL注入病毒分析


完成对路径C:\Users\VicZ\AppData\Local\Temp\x.zip的拼接

一个DLL注入病毒分析
一个DLL注入病毒分析


在402B90处通过this指针传入一串混乱的字符串,并调用sub_402990函数进行解密

一个DLL注入病毒分析
一个DLL注入病毒分析
一个DLL注入病毒分析
[Asm] 纯文本查看 复制代码
?
1
2
7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht
http://www.kahusecurity.com/downloadsConverter_v0.14.7z

一个DLL注入病毒分析


再往下还有一张图片待下载,同上还有对路径C:\Users\VicZ\AppData\Local\Temp\g.zip的拼接

一个DLL注入病毒分析
一个DLL注入病毒分析
一个DLL注入病毒分析
[Asm] 纯文本查看 复制代码
?
1
2
3
# 该网址由于已被废弃,因此无法访问
jp3.r-pepallway-wa-angyifls-owcrs/gema/iom.ceflierap/p:/tphtg
[img]http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg[/img]

通过在线云沙箱可以拿到这个图片(原网址已不可访问,无法正常下载)
一个DLL注入病毒分析


下面先设置文件属性,然后获取一串16进制数据

一个DLL注入病毒分析


通过sub_401F00函数转化出ASCII码cmd.exe /C ping 127.0.0.1 && del

一个DLL注入病毒分析
2、sub_402110
用于判断文件是否下载成功
一个DLL注入病毒分析
3、sub_402690
该函数首先创建一个文件:C:\windows\system32\locale.dll,获取缓冲区首地址,解密缓冲区内容为一个PE文件,将缓冲区内容写入到locale.dll文件中
一个DLL注入病毒分析
一个DLL注入病毒分析


循环解密部分

一个DLL注入病毒分析


线程注入部分
先将notepad.exe进程创建的时间设置为C:\windows\system32\locale.dll创建的时间,然后远程线程注入explorer.exe

一个DLL注入病毒分析
一个DLL注入病毒分析

4、网址解密脚本

# python2
# foxcookie.github.io
str1 = '7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht'
str1 = str1[::-1]
num = len(str1)
list1 = list(str1)
i = 0
 
for k in range(num/4):
        list1[i],list1[i+1],list1[i+2],list1[i+3] = list1[i+1],list1[i],list1[i+3],list1[i+2]
        i = i + 4
str2 = ''.join(list1)
print(str2)
解密原理:
逆序
四位一组
1 2换位、3 4换位
5、locale.dll
入口函数
一个DLL注入病毒分析


sub_1000162A函数用于获取时间信息

一个DLL注入病毒分析


sub_10001362函数

一个DLL注入病毒分析


StartAddress函数
循环解密出http://d1picvugn75nio.cloudfront.net,然后调用浏览器访问

一个DLL注入病毒分析


sub_10001188函数,根据传入值判断返回何种结果

一个DLL注入病毒分析


传入值为1时

一个DLL注入病毒分析


传入值为2时

一个DLL注入病毒分析


传入值不为3时

一个DLL注入病毒分析
四、手动查杀木马
1、删除cookies目录下生成的两个文件

2、删除生成的注册表

3、删除下载的文件

4、删除C:\windows\system32\locale.dll文件


1.本站所有文章内容均来自网络收集或网友投稿;2.文章内如有软件或者附件如有需要请尽快备份下载失效不补,本站不提保存备份;3.作者投稿可能会经我们编辑修改或补充。

标签:分析  病毒  注入  
相关评论

本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。敬请谅解! 

侵权删帖/违法举报/投稿等事物联系邮箱:adminad@email.cn

51La