Blackice.C病毒分析

样本分析 专栏收录该内容
8 篇文章 0 订阅

Blackice.C病毒分析

样本信息

MD5:50f559ef10b0291332d387ac9149878e

样本概述

该病毒是具有对抗能力的感染型病毒,属于blackice家族。其通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell和
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run设置自启来实现持久化,通过注入explorer.exe进程来实现进程保护,通过感染本地磁盘,可移动磁盘和网络资源中的exe,xls,doc文件实现传播,通过从以下地址下载数据到本地运行来实施后续攻击。
http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt

行为概述

注册表行为

1,HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
键:run 值:%windir%\system32\blackice.exe
2,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
键:shell 值:Explorer.exe C:\Windows\system32\blackice.exe(该值导致开机时桌面程序启动失败,只显示壁纸

文件行为

1,写入%windir%\system32\blackice.exe文件。
2,写入%windir%\system32\kernel.dll文件。
3,感染主机上本地硬盘中的除去winnt和windows目录下的exe,xls,doc文件。

进程行为

1,注入explorer.exe进程,用于在blackice.exe进程结束时重启该进程。
2,查找以下27个安全厂商的相关进程,找到后终止。
在这里插入图片描述

网络行为

1,连接http://fmtwld.zj.com/blackice/url.txt和http://fmtwld.vicp.net/blackice/url.txt试图下载数据到本地,保存为%windir%\system32\blackice.ini文件运行。

详细分析

1,创建互斥体“blackicemutex”,用于进程间互斥,防止多个blackice.exe在运行。
在这里插入图片描述
若该互斥体已经存在则退出
在这里插入图片描述
2,判断系统版本,如果不是Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003,Windows XP或Windows 2000中的一个则退出。
在这里插入图片描述
3,获得主机信息。
主机名
在这里插入图片描述
获得系统盘信息
在这里插入图片描述
获得磁盘序列号
在这里插入图片描述
获得主机MAC地址
在这里插入图片描述
4,提权,设置SeDebugPrivilege权限。
在这里插入图片描述
5,将当前文件复制为%windir%\system32\blackice.exe和%windir%\system32\kernel.dll文件。
在这里插入图片描述
6,对explorer.exe进程进行注入,用于进程保护。
首先获得explorer.exe进程的PID
在这里插入图片描述
然后打开explorer.exe进程注入shellcode,最后以启动远程线程的方式启动该shellcode。
在这里插入图片描述
7,创建六个线程。
线程1:sub_404A71
创建自启:
在HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run处创建自启
键:run 值:%windir%\system32\blackice.exe
创建办法:
检索与Win.ini文件的指定部分中的键关联的字符串
在这里插入图片描述
如果没有则写入
在这里插入图片描述
在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell创建自启
键:shell 值:Explorer.exe C:\Windows\system32\blackice.exe(该值导致开机时只显示壁纸)
创建办法:
检索"C:\Windows\system32\system.ini"键关联的字符串
在这里插入图片描述
如果没有则写入"Explorer.exe C:\Windows\system32\blackice.exe"
在这里插入图片描述
持续检测%windir%\system32\blackice.exe和%windir%\system32\kernel.dll存在与否,如果不存在则将自身拷贝过去
在这里插入图片描述
持续检测注入的远程线程的退出码,判断是否为正常退出,如果不是则重新进行注入。
在这里插入图片描述
线程2:sub_403D93
连接http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt
获得数据写到本地的%windir%\system32\blackice.ini文件中
在这里插入图片描述
下载完成后执行该文件
在这里插入图片描述
线程3:sub_4051AC
终止安全厂商的27个相关进程
在这里插入图片描述
查找相关进程并终止
在这里插入图片描述
线程4:sub_403105
设置word和execl的安全级别
在这里插入图片描述
在这里插入图片描述
感染xls和doc文档的模板文件,使新创建出来的xls和doc文档带毒
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
线程五:sub_404999
注册watchusb窗口类并创建该类窗口,监视磁盘变更的消息,如果是可移动磁盘则对其进行感染,并感染其中的目标文件。
在这里插入图片描述
判断消息类型和磁盘类型
在这里插入图片描述
线程六:sub_403771
首先获得本地时间,如果时间不是星期二,四,六则退出该线程
在这里插入图片描述
然后以获得时间的毫秒数为种子生成一个随机数,然后以该随机数为参数睡眠
在这里插入图片描述
感染本地磁盘中的目标文件,包括exe,doc,xls文件,感染深度为3层目录
在这里插入图片描述
感染网络资源中的目标文件,感染深度为4层目录
在这里插入图片描述
8,等待线程1和线程2结束后退出进程。
在这里插入图片描述
9,注入explorer.exe进程的shellcode分析。
等待blackice.exe进程结束,在其结束后查找%windir%\system32\blackice.exe文件,如果存在则直接运行它,如果不存在则将%windir%\system32\kernel.dll文件复制为%windir%\system32\blackice.exe文件并运行。
在这里插入图片描述

  • 0
    点赞
  • 2
    评论
  • 2
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值