1.样本概况
1.1 样本信息
1.病毒名称:1.exe
2.文件大小:327680 bytes
3.MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
4.SHA1: 863F5956863D793298D92610377B705F85FA42B5
5.CRC32: 1386DD7A
病毒行为:
复制自身、傀儡进程、加密指定类型的PE文件、修改注册表自启动、自动关闭任务管理工具、生成大量勒索信息文件在文件目录下、发送加密数据包,密钥
1.2 测试环境及工具
火绒剑、OD、IDA、MD5工具、Win7 Malware Defender
1.3 分析目标
恶意行为分析,病毒特征,并查杀
2.具体行为分析
2.1 主要行为
如果分析有错误,谢谢大家帮我指正
2.1.1 恶意程序对用户造成的危害(图)
用户重要信息被加密,占用系统资源.
2.2 恶意代码分析
大概流程
病毒启动时候会先生成一个傀儡进程,并把自身PE信息和环境信息复制过去,并结束自己,运行傀儡进程,傀儡进程会在指定目录复制原病毒文件,并指定一个随机名字,然后提升自我权限,启动这个文件,然后就正式开始加密指定的文件了
进程行为
网络行为
文件操作行为
首先病毒生成一个傀儡进程 往里写入PE信息和环境
然后傀儡进程在复制自身到指定目录下然后删除原程序,运行目录下程序再结束自己
SetFileAttributes 设置文件属性 为隐藏
ShellExecute 发送了一个命令
00127B6C 00127B7C L"C:\Windows\system32\cmd.exe"==&L"ā"
00127B70 00129B7C L"/c DEL C:\Users\15PB-W~1\Desktop\1.exe >> NUL"
删除了原文件
接下来就是正式开始执行感染文件了
自我提权
修改注册表
被设置过的注册表被隐藏成CMD
接下来是解密勒索信息
IDA下看解密函数
关闭重定向防止32位文件目录和64位文件目录的冲突
接下来就是等待线程返回了,因为在这些过程中创造了三个线程,而这个等待返回的就是主要的加密文件线程
我们一个个分析:
第1个线程 :结束任务管理器和一些其他查看工具的线程
第二个线程 循环定时打开病毒文件
IDA查看
第3个线程就是感染文件的线程 重点分析
首先是遍历文件的循环
下面是获得想要加密的文件文件类型
上半部分
下半部分
一共写入了多次到文件
下面是目录下生成PNG和TXT勒索信息函数分析
接下来就是用上面这个函数在桌面上生成勒索信息
然后向指定服务器发包
IDA函数分析
之前还有一节函数 是拼接要发送的数据包的
并且数据包也经过了运算加密
以上就是病毒的基本行为
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1结束进程
删除系统目录下的母体文件
删除注册表启动信息清除病毒启动项
清理目录下的TXT PNG文件
病毒文件并没有使用加密算法来加密文件的
可以使用专杀工具来修复
参考文献
[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.