分析一款病毒程序

最新推荐文章于 2023-03-07 11:54:55 发布
最新推荐文章于 2023-03-07 11:54:55 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyuai1234/article/details/51820020
版权

首先要谢谢吾爱的@Youngs提供的样本,我用自己的思路在分析一遍

首先对行为进行分析,发现他在运行本身的同时还释放了一个小程序

程序本身创建了开机自启动项


还原一部分代码如下:

void AddReg()
{
	char RegName[]="SoftWare\\Microsoft\\Windows \\CurrentVersion\\Run";
	char szBuffer[MAX_PATH];
	char hKey=NULL;

	strcpy(szBuf,"%windir%\\2.exe");
	RegOpenKey(HKEY_CURRERNT_USER,RegName,&hkey);
	RegSetValueEx(hkey,
		"2",
		0,
		REG_EXPAND_SZ,
		(LPBYTE)szBuf,
		strlen(szBuf)+1);
	RegCloseKey(hkey);
}

在c盘用户目录下创建了desktop.ini的配置文件和其他的DLL文件,个人认为它们为病毒运行所需的文件


接下来载入OD,IDA进行调试

我发现程序中call sub_40E58中调用了GetModuleHandleA,GetCommandLineA,GetProcAddress等函数,所以应该是对病毒进行获取路径或者句柄进行操作

F8单步运行程序,会发现GetModuleHandleA对文件的路径进行了读取,在F8单步运行,我发现了一个cmp的比较函数,用'22',作为对病毒初始化的结束


接下来继续通过,继续分析call_sub405684,发现了一个CharNext函数,这个函数将病毒的路径重新的读取一遍,至此出现‘’‘’结束,这个函数应该和刚才的cmp相连


通过IDA继续分析,发现一个路径为 C:\DOCUME~1\ADMINI~1.GON\LOCALS~1\Temp\nst13.tmp的临时文件,说句实话,我也不知道他有什么用,先放一边,call00403208为提供路径的主要call(关键call)


接下来是字符串的链接起来,将C://WINDOWS和\temp链接起来

发现又重建了nss14.tmp的文件,然后又删除了,不过这样分析也分析不出什么有价值的东西,继续向下。


发现了一些新出现的东西C:\Documents and Settings\Administrator.GONG-EE1FB81712\Local Settings\Application Data\NVIDIA Corpo,我们跟过去看看


一路跟过去,发现出现的地方,可以明显的看到在C:\Documents and Settings\Administrator.GONG-EE1FB81712\Local Settings\Application Data\NVIDIA Corpo\update

,而copyfile则将母体进去进去


关闭句柄

00403502 |. 50 |push eax ; /hObject

00403503 |. FF15 EC704000 |call dword ptr ds:[<&KERNEL32.CloseHandle>] ; \CloseHandle

设置注册表的键值 
.text:00402333                 push    ebx             ; lpSecurityAttributes
.text:00402334                 push    ecx             ; samDesired
.text:00402335                 push    ebx             ; dwOptions
.text:00402336                 push    ebx             ; lpClass
.text:00402337                 push    ebx             ; Reserved
.text:00402338                 push    eax             ; lpSubKey
.text:00402339                 push    edi             ; hKey
.text:0040233A                 mov     [ebp+var_4], 1
.text:00402341                 call    ds:RegCreateKeyExA
.text:00402347                 test    eax, eax
.text:00402349                 jnz     loc_40288B      ; jumptable 00401489 default case
.text:0040234F                 cmp     esi, 1
.text:00402352                 mov     edi, offset Data
.text:00402357                 jnz     short loc_402367

利用SHFILEOperationA使母体变名,变成C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\WinUpdate


删除母体

004055A0  |.  57            |push edi                                ; /FileName
004055A1  |.  FF15 44714000 |call dword ptr ds:[<&KERNEL32.DeleteFil>; \DeleteFileA

这就是我的分析

编写一个小的查杀伪代码

void Kill2File()  
{  
        char szWindows2[MAX_PATH] = {0};  
        char szSystem2[MAX_PATH] = {0};  
  
        GetWindowsDirectory(szWindows2,MAX_PATH);  
        GetSystemDirectory(szSystem2,MAX_PATH);  
  
        strcat(szWindows2,"\\2.exe");  
        strcat(szSystem2,"\\2.exe");  
  
        DeleteFile(szWindows2);  
        DeleteFile(szSystem2);

如有不足,还请多指教。















nyist小王子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析流程总结
auriel的博客
04-27 6411
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
用Python制作病毒小程序(2)
wlp1484735615的博客
01-13 1312
python制作病毒小程序(2)
恶搞黑客小程序小病毒大全
m0_73220913的博客
02-16 1万+
恶搞黑客小程序小病毒大全,想要其他黑客小程序,信息学奥赛一本通答案,c++基础的,关注我。跪求点赞,收藏。
如何用代码来实现电脑中“病毒”----关机小程序。 代码的有趣应用~
Yskm_sir的博客
03-07 1410
用代码来让你同学的电脑中“病毒”----关机小程序。 代码的有趣应用~
一款病毒(木马)程序的分析
weixin_33862514的博客
11-12 843
一款病毒(木马)程序的分析 普通用户一听到病毒(木马)软件,就会觉得很神秘,虽然它听起来比较专业不是普通用户所能掌握的,其实它们并不如想象中的那么神秘,所有病毒(木马)软件都要借助一定的媒介和载体,网络和优盘(移动设备等)是病毒传播的主要媒介。病毒和木马程序表现在细微之处,那就是它们必须在磁盘中以文件形式存在,它们会采取一定的策略和多种方法来...
病毒分析
bilibili的博客
11-14 7489
病毒分析
Wannacry病毒分析报告.docx
08-23
Wannacry病毒分析报告 Wannacry病毒是一种恶意软件,于2017年五月爆发,感染了全球数十万台计算机,造成了严重的网络安全威胁。根据本报告,Wannacry病毒的分析结果如下: 样本概况 Wannacry病毒的样本信息包括...
一款适用于以APP病毒分析
最新发布
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展,移动安全变得越来越重要。
xiongmao-病毒分析报告.docx
08-23
病毒分析报告是信息安全领域中的一种重要报告,旨在对恶意软件进行深入分析,了解其行为、特征和危害,以便更好地防御和清除病毒。 样本信息 在病毒分析报告中,样本信息是指对恶意软件的基本信息,包括样本名称、...
病毒程序汇编分析 Virus Writing Guide
07-01
运用win32汇编语言分析病毒代码 利用PE文件结构写简单的类似病毒的程序 英文的
VB病毒小程序(无害)-用于整人
07-09
本程序用于激发学习VB的学者,也可以用来恶搞别人。(现成的)可以运行,不会损害电脑。
查病毒的一个小程序
07-21
查毒.bat 一个学来的小程序,赚赚积分哈。 
c病毒程序原理分析(防范病毒 c语言小病毒示例)
01-01
病毒的特点: 病毒的最大特点就是自我复制,从病毒的分类来说有很多...下面给出c语言的实现过程:1,主程序调用病毒功能函数2,病毒功能函数读取查找同目录下所有c文件;3,找到一个(被感染c文件),打开它,并且将此文
计算机病毒的分析及防范论文.doc
12-01
计算机病毒是一种有强破坏和感染力的计算机程序,它可以破坏计算机系统和数据,并且具有自我复制和传播能力。随着计算机的广泛应用,计算机病毒已经成为信息战的一种重要形式,能够对敌方计算机系统造成严重影响。...
病毒诊断分析程序(病毒分析师的福音)
chenhui530的专栏
09-23 6043
 此程序是一个专业的病毒诊断分析程序。08-09-26修正版:修正了某些情况下会漏点一些进程没监控的情况 08-10-11修正四版:修正了在监视某些IE程序时路径过长导致的蓝屏情况http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20080926/最新诊断程序(修正版).jpghttp://
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
3601病毒分析
datouyu0824的博客
03-20 1328
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
病毒扫描算法沙箱分析算法
03-04
沙箱分析算法是一种用于检测和分析未知病毒的技术。它通过在隔离的环境中运行可疑程序,观察其行为并分析其影响,以确定是否存在病毒活动。沙箱分析算法通常包括以下步骤: 1. 隔离环境:将可疑程序运行在一个隔离...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值