文件打包的样本分析

---

###一.样本信息

• 文件名称: 614D9828AD3C1E5E0F7C4C4DC70358F0.exe
• 文件大小：284KB
• MD5: 2754CFB2FBCE5E9460658113D032474F
• SHA-1: 084630F5D47136AE910BD42B90E76522EBF36D90

---

###二.样本分析

0x01.将文件上传至Virustotal,样本行为大致有









0x02.运行样本,使用Procmon查看行为,可以看到样本先是创建了四个文件:nspP3E.tmp,424 bl 3.ADO,Guadalajara.dll,System.dll






0x03.样本对错误消息弹框设置了不显示并在临时文件目录下下尝试创建了一个临时文件后又删除了，文件名为"ns+两个随机的数字"

随机文件命名规则

0x04.从样本中找到对应的标志后，并将这之后的文件写入新创建的临时文件中，并将该文件设置为关闭后自动删除



0x05.之后经过多次解码，在C:\Documents and Settings\Administrator\Application Data下创建了MorwongDisciple,并从nsxx.tmp中读取部分数据写入到MorwongDisciple中,并设置了文件的创建时间。


0x06.在C:\Documents and Settings\Administrator\Application Data创建424 bl 3.ADO.le和一个非模态对话框,并从nsxx.tmp和样本中取部分数据再次写入到nsxx.tmp中。之后又不断从样本中解压数据到nsxx.tmp中,而该对话框则是用来显示解压进度，完成后自动销毁。在完成解压后,将nsxx.tmp中内容写入到424 bl 3.ADO.le,并同样将文件时间设置为2016年3月17日, 15:36:02。创建Guadalajara.dll，由nsxx.tmp写入,同样设置文件时间







0x07.创建System.dll,由nsxx.tmp写入,设置时间2014年10月7日, 12:39:44,之后加载该dll,改变部分内存属性,之后获取并调用System.dll中的call函数,并通过对传入参数Guadalajara::Bisulphide(i .r8,i.r4,m “MorwongDisciple”,m “424 bl 3.ADO”,i .r2,i,m “”,i .r8,m “ExhibitTintinnabulum”)的解析,加载Guadalajara.dll并调用**Bisulphide()**函数

0x08.Bisulphide()函数首先通过样本中的输入表来获取所需的函数后,先获取424 bl 3.ADO和MorwrongDisciple的文件句柄,并从MorwrongDisciple句柄张读取F0字节,用MorwrongDisciple该字符串与内容进行异或,对内容进行解密，解密结果为所需的各个函数名,手动获取这些函数地址(IAT)。




0x09.将424 bl 3.ADO中的全部读入缓冲区中,用ExhibitTintinnabulum字符串对内容进行异或解密,最终得到一个PE文件,该PE就是最终要运行的恶意样本。对该文件进行dump


0x10.之后使用RunPE技术,创建了一个新的进程并挂起,用NtUnmapViewOfSection取消了原本的内存映射,再用WriteProcessMemory将解密后的PE文件写入到内存中，替换了原本创建的进程内容,并调用ResumeThread恢复进程,之后原样本就已经结束了






0x11.分析解密后的PE文件,将**.ccc214**区段进行解密，该区段为加密后的函数。解密后运行该函数。

0x12.该函数又将自身数据中携带的dll文件写入到申请的缓冲区中，再将dll映射到申请的内存中，并根据重定位表对进行重定位和获取在列表中的函数。之后便跳转到该dll的入口地址处(DllEntryPoint)。通过注册表Software\Microsoft\Windows NT\CurrentVersion获取并记录系统信息.


0x13.进行反虚拟机,进程快照判断是否存在VBox或VMware相关进程，查询注册表中是否存在vbox或**"VMware"相关信息，判断是否存在vmmemctl驱动，是否存在VMwareCopyPasteSetClipboard事件。











0x14.在C:\Documents and Settings\Administrator\Application Data下创建FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9文件夹,并将该PE文件复制到该文件夹下后,以此创建新的进程运行。因为该进程在这文件夹下,下载http://find-dentalimplants.com/wincludes/theme-compat/filefile.php**该资源，但是已经无法从该网页下载资源,因此无法继续分析资源样本。假如能够下载,在判断下载文件的PE文件有效性后,将文件提取到该文件夹下并运行,并在运行之后进行删除。

0x15.如果是不再该文件下,即第一次运行,从资源区中解密出一个新的PE文件,同在申请空间，手动对各函数进行加载后，跳转到该PE的程序入口处.尝试将PE dump下来但是失败了.之后以挂起的方式创建了regsvr32.exe，并同样使用RUNPE技术,取消原本的文件映射，将该PE程序映射到该进程中后该程序结束。





0x16.而映射到regsvr32.exe程序中的PE文件会再次创建进程regsvr32.exe，恢复功能的正常运行。在内存中发现该http://178.33.69.66/upload.php网址猜测应该是主机ip，但是也无法下载文件。

三.清除方案

删除C:\Documents and Settings\Administrator\Application Data\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9文件夹下的所有内容和C:\Documents and Settings\Administrator\Application Data下的424 bl 3.ADO,Guadalajara.dll,System.dll ,MorwongDisciple