一个感染型木马病毒分析(二)

最新推荐文章于 2021-02-01 19:34:58 发布
最新推荐文章于 2021-02-01 19:34:58 发布
阅读量4.4k 收藏 7
点赞数 4
分类专栏: Windows病毒分析 Windows病毒分析 文章标签: 木马 感染 病毒 感染性木马病毒 木马病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQ1084283172/article/details/47447949
版权

作者:龙飞雪


0x1序言

前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。

 


0x2病毒木马性的分析---远程控制用户的电脑

前面的分析中已经分析过了,该感染型木马病毒会在用户的电脑上创建socket套接字作为service端,等待病毒作者client端的连接。这样病毒作者就能远程控制用户的电脑(这里的“控制”是操作的意思)也就说,病毒作者能够通过socket套接字向用户的电脑发送控制命令CmdMsg,指挥病毒resvr.exe对用户的电脑进行恶意的破坏。

 


病毒resvr.exe在用户的电脑上创建监听绑定本地IP=127.0.0.1的套接字端口号为40118,将用户的电脑变成了病毒作者能控制的service服务端




病毒resvr.exe创建的本地监听套接字成功之后,等待接收病毒作者client方发来的控制命令CmdMsg,对用户的电脑进行恶意的操作。



病毒作者对用户电脑的远程控制操作有9组命令并且对用户电脑的控制操作也比较多,后面会详细的分析每一种远程控制命令的操作。对于病毒作者client端发来的控制命令的recvCmdMsgBuffer的数据格式为“dwCmdMsg+数据内容”即接受到的数据的8个字节是病毒作者控制用户电脑的具体的命令类型也就是下面的9组命令类型。





第1组dwCmdMsg=0x3EB的控制操作:


很简单,向病毒作者的client端发送控制操作结果的反馈信息例如21 43 65 87 (4个字节)的数据。

 


第2组dwCmdMsg=0x450的控制操作:


根据病毒作者client端发来的数据创建C:\Program Files\Common Files\Microsoft Shared\Index.bat文件,系统本地提权瞬间关闭用户的计算机进行掩饰。





第3组dwCmdMsg=0x451的控制操作:


根据病毒作者client端发来的数据创建C:\Program Files\Common Files\Microsoft Shared\Index.bat文件,然后创建线程用于创建用户系统桌面右下角的弹窗对话框。





第4组dwCmdMsg=0x455的控制操作:


设置当前病毒进程感染用户文件的感染方式的标记 0xAABBCCDD,遍历用户电脑的所有逻辑盘里的文件进行“加密”方式的感染用户的所有文件。创建线程对用户电脑的26个软盘"ABCDEFGHIJKLMNOPQRSTUVWXYZ"里的.doc、.xls、.jpg、.rar格式的文件进行感染处理。



对用户文件的感染方式1,对用户文件的头0x400个字节进行xor异或的加密处理。



对用户文件的感染方式2,仅仅对用户的.doc、.xls、.jpg、.rar格式的文件进行感染处理。



第5组dwCmdMsg=0x453的控制操作:


创建线程用于使用DOS入侵的命令数据创建C:\\Program Files\\Common Files\\Microsoft Shared\\X.bat文件用。执行DOS入侵命令在用户的电脑上创建拥有更大权限的系统登录账户Guest




第6组dwCmdMsg=0x458的控制操作:


创建线程用于获取当前病毒进程资源类型为RT_RCDATA且资源名称ResourceName = 0x69=105的资源数据,创建"Message.exe"文件然后运行该病毒文件Message.exe创建病毒进程。对于病毒文件Message.exe,后面详细分析。






第7组dwCmdMsg=0x7的控制操作:


对于控制命令"7",应该比较熟悉了吧。前面的病毒分析中提到病毒母体resvr.exe感染文件产生的衍生病毒会发送命令数据"7"。具体的病毒行为是对病毒作者client端或者病毒母体resvr.exe感染文件产生的衍生病毒client端发送的"7+文件路径"中指定文件路径的.doc.xls.jpg.rar格式的文件进行感染处理即对感染病毒作者或者衍生病毒指定的.doc.xls.jpg.rar格式的文件进行感染。






第8组dwCmdMsg=0x452的控制操作:


0x451中在用户桌面右下角创建的弹窗对话框投递WM_CLOSE消息,用以关闭在用户桌面右下角创建的弹窗对话框。

 

第9组dwCmdMsg=0x454的控制操作:


创建线程用于创建"C:\\Program Files\\Common Files\\Microsoft Shared\\X.bat"文件并运行X.bat文件退出 Guest系统登录账户



0x3释放的病毒文件Message.exe的分析

弹一个MessageBox的对话框,然后创建X.bat文件删除病毒进程文件Message.exe自身,退出病毒进程。








截图太多,排版看起来比较乱,个人笔记而已。


说实话,对于一份病毒分析报告而言,写的太详细不是好事。对于看病毒分析报告的小白来说,你写的越详细,意味着他看的越迷糊。病毒分析报告不是为了炫耀,只要像360的分析报告一样,简洁将病毒行为说明白即可。对于病毒的逆向,当然,IDA的伪代码质量比较高就看伪代码,不要为了显示自己很牛掰,搞些汇编的截图过来,因为那说明不了什么,工具的作用是为了提高效率不是为了炫耀。


Fly20141201
关注
专栏目录
Ramnit感染病毒分析与处置
不忘初心,护天下安全!
08-03 4785
详细分析Ramnit感染性病毒
Virut感染病毒查杀工具
摔不死的笨鸟的博客
08-25 2743
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大感染病毒和勒索病毒。 下面是自己写的Virut一款感染病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
计算机病毒木马程序设计剖析- 修改系统文件(源代码)
04-22
修改系统文件 modifyfile.vcproj 这是使用“应用程序向导”生成的 VC++ 项目的主项 目文件。它包含有关生成文件的 Visual C++ 版本的 信息,以及有关用“应用程序向导”所选择的平台、 配置和项目功能的信息。 modifyfile.h 这是应用程序的主头文件。它包含其他项目特定的头 文件(包括 Resource.h),并声明CmodifyfileApp 应用程序类。 modifyfile.cpp 这是包含应用程序类 CmodifyfileApp 的主应用程序 源文件。 modifyfile.rc 这是程序使用的所有 Microsoft Windows 资源的列 表。它包含存储在RES子目录中的图标、位图和光标。 可直接在 Microsoft Visual C++ 中编辑此文件。项 目资源包含在 2052 中。 res\modifyfile.ico 这是一个图标文件,用作应用程序的图标。此图标包 含在主资源文件 modifyfile.rc 中。 res\modifyfile.rc2 此文件包含不由 Microsoft Visual C++ 编辑的资源。 应将所有不能由资源编辑器编辑的资源放在此文件中。 //////////////////////////////////////////////////// 应用程序向导将创建一个对话框类: modifyfileDlg.h、modifyfileDlg.cpp - 对话框 这些文件包含 CmodifyfileDlg 类。此类定义应用程 序主对话框的行为。此对话框的模板包含在 modifyfile.rc 中,而此文件可以在 Microsoft Visual C++ 中进行编辑。 //////////////////////////////////////////////////// 其他功能: ActiveX 控件 应用程序支持使用 ActiveX 控件。 打印支持和打印预览支持 应用程序向导已生成了一些代码,通过从 MFC 库调用 CView 类中的成员函数来处理打印、 打印设置和打印 预览命令。 //////////////////////////////////////////////////// 其他标准文件: StdAfx.h、StdAfx.cpp 这些文件用于生成名为 modifyfile.pch 的预编译头 文件 (PCH)和名为 StdAfx.obj 的预编译类文件。 Resource.h
一个感染性木马病毒分析(三)--文件的修复
Fly20141201. 的专栏
08-12 4938
一、 序言 前面的分析一个感染木马病毒分析)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。   、文件感染方式的分析 之前感染性木马病毒分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和
Android木马病毒com.schemedroid的分析报告
Fly20141201. 的专栏
08-03 6480
某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
对一款病毒木马)程序的分析
weixin_33862514的博客
11-12 872
对一款病毒木马)程序的分析 普通用户一听到病毒木马)软件,就会觉得很神秘,虽然它听起来比较专业不是普通用户所能掌握的,其实它们并不如想象中的那么神秘,所有病毒木马)软件都要借助一定的媒介和载体,网络和优盘(移动设备等)是病毒传播的主要媒介。病毒木马程序表现在细微之处,那就是它们必须在磁盘中以文件形式存在,它们会采取一定的策略和多种方法来...
实验木马分析(控制分析)实验和实验三冰河木马实验
qq_30600405的博客
10-31 1万+
木马分析(隐藏分析)实验 木马分析(控制分析)实验 木马植入方法实验---冰河木马
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 9986
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
快速清除木马病毒快速清除木马病毒
05-06
快速清除木马病毒快速清除木马病毒快速清除木马病毒
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析
木马病毒分析笔记
m0_45503137的博客
05-06 2008
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
透视木马程序开发技术: 源代码详解(上)
11-10 607
近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。 1、木马程序的分类木马程序技
【续】悲!企业软件被360误认木马病毒!软件全目录被删!
weixin_34405332的博客
06-17 843
继前面悲!企业软件被360误认木马病毒!。 现更悲剧的事情发生了,一家门店发现无论如何都无法收银过账,我就觉得奇怪,我明明设置定时5分钟检查一次,怎么会如此呢? 直到把程序关闭,呀,发现桌面启动不了了?赶紧到目录一看。 很好很强大……就留个目录了。其他都被干掉了(已经加到360木马的受信任,依然如此)。 过会要去开会探讨,要不要将门店卸载360(毕竟他也有许多地方是不错的,补丁、木...
Backdoor.Zegost木马病毒分析(一)
Fly20141201. 的专栏
12-27 5210
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类:EXE文件 病毒名称:Win32. Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E95
下了个蓝屏代码查看工具,就中病毒了。。。什么鬼病毒,竟然还是用的VBS
a538641097的博客
06-03 1万+
扫描所有盘下面的html文件,加入VBS脚本。。。真是奇葩,多少年前的病毒了。。。 http://files.cnblogs.com/files/guangshan/lpdmcxq.rar 这个是病毒链接,下载地址也在里面。 原理是为所有的html文件增加一段脚本: </div><SCRIPT Language=VBScript><!-- ...
zbot木马分析
u011636170的专栏
11-22 2558
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启
病毒分析之Virut病毒感染样本分析(setup.exe)
Hades的博客
07-16 7463
病毒分析之Virut病毒感染样本分析(setup.exe)样本概况文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe大小: 369664 bytes文件版本:8.0.50727.42 (RTM.050727-4200)修改时间: 2014年4月21日, 11:18:00MD5: E29DAE6188A0B0BB797C42F68D8DFA...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值