0x0 病毒介绍
通过局域网传播的病毒,通过接受指令完成恶意行为,下载文件更新病毒。
0x1 概述
样本名:sample.exe
MD5:f3b51ce3878eb7a6b2c5f5ff5de0c7b5
壳或者编译信息:PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->Markus & Laszlo
分析环境及工具:winXp sp3、IDA6.8、x64Dbg、火绒剑、哈勃、PEid
0x2、相关文件
1. sample.exe:样本,主要行为。
0x3、行为预览:
1. 弱口令破解局域网主机,拷贝自身并且执行
2. 链接指定ip,上传主机信息。
3. 接收指令,完成下载,根据接收到参数打开ie,创建指定线程访问网页完成ddos攻击
0x4、报告正文:
1.通过查壳可以发现是upx壳,脱掉壳后继续分析。
2.创建互斥体如果是存在结束进程
3. 创建服务,设置服务状态
4. 来到这个程序中最重要的部分了
1) 枚举资源
2) 加载释放的资源
3) 循环创建线程
5. 在接下来会分别介绍3个线程和一个消息处理。
1)1号线程通过字典来破解当前局域网主机,并且拷贝到c/d/e/f盘,名字为g1fd.exe并执行。
2)2号线程会查看时间,如果大于设定的时间创建线程
i. 来看下这个线程所做的事情创建套接字链接指定arwah.uy1433.com网站。
ii. 接受数据,如果指令为0x10那么就下载文件。
iii. 接受0x12号指令,释放互斥体,下载文件,结束服务,创建进程,结束当前进程。(猜测病毒的升级指令)
iv.0x14号指令打开浏览器
v.创建指定线程个数,链接指定地址(DDos攻击)
3)3号线程和2号线程1一样只是将链接ip地址不同,经过x64dbg跟踪后解密的ip是:192.168.1.107:83
0x5、总结:
这个病毒是通过局域网传播的蠕虫病毒,可以通过查看互斥体.Net CLR查看是否被感染,样本的难度很小,脱壳后,通过ida即可分析全部流程。
样本流程: