作者丨黑蛋
一、病毒简介
SHA256:
de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45
MD5:
6e4b0a001c493f0fcf8c5e9020958f38
SHA1:
bea213f1c932455aee8ff6fde346b1d1960d57ff
云沙箱检测:
二、环境准备
| 系统 |
| Win7x86Sp1 |
三、行为监控
打开火绒剑,打开样本:
可以看到这里释放了部分隐藏文件,以及进行了网络链接,但是网站关闭了,没有成功:
其次就是入侵了explorer.exe。最后进行自我删除。
四、调试分析
由于其中有很多需要解密部分,所以这次动静结合分析。首先在IDA中,打开start函数:
这里有IsProcessorFeaturePresent反调试,直接用OD插件过掉:
一直走下去,函数sub_402A10是关键函数
前面是设置窗口属性,对部分杀软进行遍历强杀:
跟进sub_402190:
继续向下走:
继续拼接路径:
接下来是解密网址:
然后进行文件下载,设置文件属性,随后又是一堆路径的拷贝:
随后又是网址解密,下载文件,设置属性:
继续走,走过一大堆函数后,来到标记函数:
进去:
这里是创建了一个文件,并进行一个注入操作
注意这里这个函数:
这里设置了dll创建时间=C:\Windows\notepad.exe创建时间。
在最后,启动了cmd,ping了127.0.0.1并进行删除操作:
随后看看释放的dll,进入主函数:
第一个函数是获取系统时间,着重看第二个函数:
进入标记函数,他创建了一个线程,跟进回调函数:
解密了一个网站,进行了访问:
函数1188简单的追了一下,猜测是根据服务器返回信息进行不同操作
这几个函数没有看出是干啥的。总体思路就这样。
