一、病毒简介
这款木马从恶意网址下载东西,然后修改本地文件;
SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07
MD5:56b2c3810dba2e939a8bb9fa36d3cf96
SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc
二、行为分析
首先看看微步云沙箱分析:
1.png
2.png
恶意服务器网址:[ddos.dnsnb8.net]
接下来看看火绒剑监控结果:
3.png
这边有大量的对本地文件修改;
4.png
最后是一个自删除。
三、静态分析
首先查壳:
5.png
通过x32dbg脱壳:
6.png
看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:
7.png
走到ret,进入OEP脱壳:
8.png
9.png
注意一下OEP这里:
10.png
接下来拖到IDA中,根据之前OEP那里,找到关键位置:
11.png
12.png
进入函数1371638:
13.png
这里是获取临时文件夹路径,系统目录以及当前进程路径等,随后进入137139F,箭头所指:
14.png
返回之后,继续向下走:
15.png
进入第一个箭头所指:
16.png
这里是下载文件并启动,进入第二个箭头:
17.png
函数sub_1371973:
18.png
那么这个函数就是拷贝自身到临时路径下,并读取自身内容,返回进入线程回调函数:
19.png
20.png
这里获取驱动器盘符类型,如果大于1不等于五,进入开辟线程:
21.png
进入回调函数,进入sub_13728B8:
22.png
这里是筛选exe和rar后缀文件,进入sub_137239D函数:
23.png
这里是对文件进行写入操作;这里就是遍历目录,筛选exe和rar后缀,对这类文件进行写入;
第三个箭头就是删除文件类操作。当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。
