病毒详细信息:

clip_image002

病毒的PE信息:

1.头信息:

clip_image003

2.区段信息:

clip_image004

2病毒行为:

病毒在运行后会将自身删除,并在c盘文档下生成tvoxbg.exe

clip_image006

3病毒代码分析

病毒进行OD分析脱壳:

根据病毒的行为,创建内存,写入恶意代码,代码执行。所以对OD下API断点,对VirtualAlloc、VirtualAllocEx、CreateProcessA、CreateProcessW下断点。

clip_image007

根据返回值查看数据

clip_image009

可知数据中是PE结构,根据数据将PE从内存中dump出来,大小:50000、起始位置5D0000.

继续运行。

clip_image010

使用二进制->二进制复制,010editor,新建->选择Hex文件;编辑->从Hex复制到text也可以完成内存dump

总共dump 三个PE文件,其中两个是假的因为,使用IDA进行查看函数数量过少,导入函数很少,而文件却有300k左右。

对真正PE进行分析:

clip_image011

脱壳后动态静态分析:

40FF10函数:

clip_image013

函数0040FBE0:创建文件

clip_image015

函数402430:获取勒索文本

clip_image016

函数40FE60:获取勒索图片:

clip_image018

对dump进行单步跟踪分析,猜测可能是解密字符串函数。

clip_image020

进入解密字符串函数进行动态调试

clip_image022

clip_image024

侧面印证call 01382170是字符串解密函数。

对Dump样本进行静态分析:

在WinMain函数内进行分析,VitrualAlloc、GetProcAddress,API很重要,一般程序如果想要增强适应性都会动态获取Kernel32.dll通过上述两个API获取其他相应功能的API。所以当分析WinMain流程到clip_image025

分别对call 402170和call 410750分析可知:

在函数 410750内发现权限获取

clip_image027

根据程序流程找到文件复制和删除的代码分析可知:

clip_image029

在OD对410990函数分析:

clip_image031

可以确定此函数是创建进程删除源文件的函数

根据WinMain函数流程来看,找到00406EB0发现此函数是创建出来的线程函数。

clip_image033

按照流程继续向下分析

函数 403180,根据API断定和网络链接有关

clip_image034

clip_image035

继续向下分析

clip_image036

分析函数 401710可知

clip_image037

获取磁盘信息的API,此函数八成和磁盘遍历有关,猜测可能用递归方式进行遍历磁盘信息。

clip_image038

对40192函数分析:

clip_image040

clip_image041

可知此函数对磁盘内的文件进行了遍历,创建了勒索文件和图片,并对文件进行了加密处理。

感染病毒观察行为:

通过Pchunter,启动信息:

clip_image043

病毒伪装成cmd.exe运行

clip_image045

病毒在注册表中的数据

clip_image047

4总结:

1. 此病毒通过对磁盘文件的遍历,进行加密

2. 通过网络链接进行勒索

3. 为防止被杀,在我的文档进行写入,修改文件属性隐藏,创建随机文件名。

4. 进行注册表写入开机自动启动,提高存活率

5. 代码进行多个PE文件的创建写入,增加逆向的难度

6. 创建恶意代码的进行,对该进程重写将恶意代码写入,增强病毒的隐蔽性。

posted on 2019-06-06 15:09  黑箱  阅读(392)  评论(0编辑  收藏  举报