本文轉(zhuǎn)載自“FreeBuf.COM ”，原文作者：gechengyu
　　今年的世界杯越來越看不懂，想去天臺吹吹風(fēng)都不一定有位置，心涼了，事兒還得做，先從網(wǎng)上抓個可疑樣本壓壓驚!上手分析才發(fā)現(xiàn)并沒有我想得那么簡單……

創(chuàng)新互聯(lián)是一家成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)，提供網(wǎng)頁設(shè)計，網(wǎng)站設(shè)計，網(wǎng)站制作，建網(wǎng)站，按需定制，網(wǎng)站開發(fā)公司，于2013年開始是互聯(lián)行業(yè)建設(shè)者，服務(wù)者。以提升客戶品牌價值為核心業(yè)務(wù)，全程參與項目的網(wǎng)站策劃設(shè)計制作，前端開發(fā)，后臺程序制作以及后期項目運營并提出專業(yè)建議和思路。

　　一、基本信息

拿到可疑文件第一時間扔到“虛擬執(zhí)行環(huán)境”中先讓它自己可勁兒折騰一番，咱只需要坐在老板椅上，翹著二郎腿，喝著茶，唱著歌，沒一會兒功夫分析報告就出來啦~

▲圖：流程圖

2.1 首先使用 PEid 查殼，發(fā)現(xiàn)具有 UPX 殼，UPX 殼比較好脫，T 友們可以自行脫殼。

2.2 過了一層殼之后，接著又是一段解密代碼，一直走下去，最終又會回到 0×00400000 地址段中，你會發(fā)現(xiàn)，和源程序一樣，是經(jīng)過 UPX 加殼的。

2.3 依照同樣的方法跳過 UPX 殼后，就進入到樣本的主體程序。

樣本首先會查詢系統(tǒng)默認的瀏覽器路徑，如果查詢失敗就使用IE瀏覽器(后期用來進行進程注入)，如果兩個方法都失敗，就會退出程序。

2.4 通過檢查互斥體 KyUffThOkYwRRtgPP 是否已經(jīng)存在來保證同一時間只有一個實例在運行。

2.5 進程名校驗，樣本會首先判斷自己的進程名是否為 DesktopLayer.exe，如果是的話，就退出此函數(shù)，如果不是，就會構(gòu)造 c:program filesmicrosoft 目錄，然后將自身拷貝的此目錄下，并命名為 DesktopLayer.exe，然后啟動此程序。

2.6 當(dāng)自身進程名為 DesktopLayer.exe 時，將會對函數(shù) ZwWriteVirtualMemory 進行 Inline Hook，回調(diào)函數(shù)如下：

2.7 接著創(chuàng)建進程，此進程為開頭獲得的瀏覽器進程，在進程創(chuàng)建時會調(diào)用 ZwWriteVirtualMemory 函數(shù)，而這個函數(shù)已經(jīng)被 hook 并跳轉(zhuǎn)到 sub_402A59，此函數(shù)的主要功能就是對啟動的目標進程進行進程注入，并將一個 PE 文件寫入目標進程，寫入的 PE 文件原本是嵌入在自身文件中的。使用 16 進程程序可以發(fā)現(xiàn)，脫殼后的樣本中嵌入的 PE。

2.8 注入完之后會還原 ZwWriteVirtualMemory 的代碼。

　三、詳細分析

經(jīng)過這么多的操作，其實它的重點行為才剛剛開始。

3.1 使用 OD 附加到目標程序，經(jīng)過幾個函數(shù)的調(diào)用就會進入到嵌入的 PE 文件中，程序結(jié)構(gòu)比較清晰。

3.2 創(chuàng)建不同的線程執(zhí)行不同的功能，下面對其中幾個比較重要的線程進行說明：

Sub_10007ACA：將自身文件路徑寫入注冊表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit，實現(xiàn)自啟動。

Sub_1000781F：在 c:program filesInternet Explorer 下創(chuàng)建 dmlconf.dat 文件，并寫入 FILETIME 結(jié)構(gòu)體數(shù)據(jù)。

Sub_10005906：此線程沒有被運行，不過通過對代碼的靜態(tài)分析，發(fā)現(xiàn)它會監(jiān)聽 4678 端口，等待連接。收到連接后會接受命令并執(zhí)行對應(yīng)的操作。所以猜測此線程為一個后門，用來接收攻擊者的命令。

Sub_1000749F：此函數(shù)中會創(chuàng)建兩個線程。

其中 Sub_10006EA8 用于感染 exe，dll，html，htm文件，總體思路都是將自身文件寫入到目標文件中，例如下圖感染的 htm 文件。寫入的是一個 VB 腳本，變量 WriteData 存儲的是一個 PE 文件。

受感染的 PE 文件會多處一個 rmnet 段。

Sub_10006EC2：感染可移動介質(zhì)，他會將自身寫入到可移動介質(zhì)，并在目錄下創(chuàng)建 autorun.ini 文件，然后寫入如下數(shù)據(jù)：

[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe

其中 AbxOgufK.exe 即為自身程序。分析過程中發(fā)現(xiàn)的域名 fget-career.com，經(jīng)查詢得知為惡意域名。

　　四、總結(jié)

深知自己分析能力有限，其實就是想拋塊磚嘛(內(nèi)心無比的鄙視自己…)，樣本分析是個技術(shù)活，也要耐得住寂寞，沒有一款解悶的好工具怎么行?這次用的云沙箱提前為我多維度的檢測樣本，省力又省心，感興趣的朋友可以多用用哈~

P.S. 天臺上的 T 友們快下來吧!這么多惡意軟件等著你們來分析呢!世界需要你們來守護~

　　也可以直接查看分析報告，繼續(xù)深度分析，報告地址如下：

fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320

網(wǎng)頁名稱：天臺人滿為患，不如來看下這個Ramnit蠕蟲分析
文章位置：http://chinadenli.net/article34/gphcpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、網(wǎng)站排名、ChatGPT、定制網(wǎng)站、網(wǎng)站設(shè)計公司、品牌網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)