分析环境
吾爱破解虚拟机(XP系统) IDA 6.8 火绒剑
样本来源
https://www.52pojie.cn/thread-712552-1-1.html
病毒文件信息
文件: C:\Documents and Settings\Administrator\桌面\GandCrabV2.0 样本 IDB\GandCrabV2.0 样本+IDB\hmieuy.exe
大小: 315912 bytes
修改时间: 2018年3月11日 星期日, 13:28:31
MD5: F42774332FB637650FF0E524CE1B1685
SHA1: 0012363A8A6EFDD93FBD4624EE5E8DDF1F7BE8D5
CRC32: 9732F21C
行为概览
查壳信息
样本无壳,通过链接器版本以及提示判断开发环境为VS2010 C++编写。
火绒剑动态运行分析记录
1.执行监控
病毒载入运行运行所需的dll 不断打开nslookup.exe进程(此进程用于查询 Internet域名信息或诊断DNS 服务器问题,获取被感染主机的公网IP信息),
文件与行为监控
病毒在C:\Documents and Settings\Administrator\Application Data\Microsoft\路径下创建iqvwlz.exePE文件,从文件的MD5与sha1值对比,可以推断初始的样本是一层包装。
调用系统RSA加密库 加密算法大概率是RSA。
注册表监控
注册表除大量获取键值外,在HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunOnce路径下设置键值 用于所创建的iqvwlz.exe文件实现自启动。
网络监控
网络行为主要是连接66.171.248.178:80,获取本机IP信息,nslookup.exe不断重连0.0.0.0:53初步判断可能是没有连接到C&C地址 不断进行重连尝试。
动态行为监控小结:病毒程序运行后在C:\Documents and Settings\Administrator\Application Data\Microsoft\目录下创建e