一、病毒简介
这款木马从恶意网址下载东西,然后修改本地文件;
SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07
MD5:56b2c3810dba2e939a8bb9fa36d3cf96
SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc
二、行为分析
首先看看微步云沙箱分析:
恶意服务器网址:[ddos.dnsnb8.net]
接下来看看火绒剑监控结果:
这边有大量的对本地文件修改;
最后是一个自删除。
三、静态分析
首先查壳:
通过x32dbg脱壳:
看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:
走到ret,进入OEP脱壳:
注意一下OEP这里:
接下来拖到IDA中,根据之前OEP那里,找到关键位置:
进入函数1371638:
这里是获取临时文件夹路径,系统目录以及当前进程路径等,随后进入137139F,箭头所指:
返回之后,继续向下走:
进入第一个箭头所指:
这里是下载文件并启动,进入第二个箭头:
函数sub_1371973:
那么这个函数就是拷贝自身到临时路径下,并读取自身内容,返回进入线程回调函数:
这里获取驱动器盘符类型,如果大于1不等于五,进入开辟线程:
进入回调函数,进入sub_13728B8:
这里是筛选exe和rar后缀文件,进入sub_137239D函数:
这里是对文件进行写入操作;这里就是遍历目录,筛选exe和rar后缀,对这类文件进行写入;
第三个箭头就是删除文件类操作。当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。
