一个链接引发的“恶意执行”
引子:
最近研究算法上瘾了,也分析了一些最新的恶意软件(后续更),今早浏览样本的时候发现一款老病毒,大体分析了一下,还算有趣所以简单分享一下。
病毒分析:
1、解压样本后,只发现了一个链接??链接名叫账号密码,我第一次看到竟然双击了(其实知道有隐藏文件,习惯性的操作很可怕),双击后感觉就中招了,如下所示:
图片一:样本
2、右击查看一下链接属性及链接位置,发现是一个该文件夹下vb脚本的快捷方式,调整一下文件夹显示属性:
图片二:VBS
3、用010打开.vbs来看一下代码,如下所示:
图片三:隐式执行
4、利用shell执行了~\jpg.exe,打开文件夹继续跟中一下,如下所示:
图片四:隐士文件夹
5、文件夹中有jpg.jpg图片,还有.ini初始化文件,怎么下手分析?Shell对象执行了jpg.exe,那么静态分析,不过先看一下jpg图片与.ini数据,如下所示:
图片五:数据查看
6、IDA中静态观察一下jpg.exe安装程序,如下所示:
图片六:jpg.exe
7、因为是分析过了,所以函数名称已改成WriteLog,进入函数分析一下:
图片七:追加(创建)日志
8、日期格式化输出,写入文件,如下所示:
图片八:C标准文件流
9、然后设置了环境变量等属性,如下所示:
图片九:环境属性
10、分享一段汇编代码,memset的汇编原理,从汇编来看,真的是高效率(论时效)如下:
xor eax, eax
lea edi, [esp+21Ch+var_103]
mov [esp+21Ch+Value], 0
rep stosd
stosw
来看rep stos这条指令,如下所示:
操作码 | 指令 | 详细 |
---|---|---|
F3 AA | REP STOS m8 | 使用 AL 填写位于 ES:[(E)DI] 的 (E)CX 个字节 |
F3 AB | REP STOS m16 | 使用 AX 填写位于 ES:[(E)DI] 的 (E)CX 个字 |
F3 AB | REP STOS m32 | 使用 EAX 填写位于 ES:[(E)DI] 的 (E)CX 个双字 |
11、IDA整体浏览了一下,发现每一个操作都会有详细的日志记录,而且以Entry -- Leave为完成标志,日志记录如下:
图片十:日志记录
解析整个流程如下:
1、进入Setup.exe安装
2、调用了SetEnvironment
3、环境变量SetupExeLocation设置为C:\Users\15pb-win7\Desktop\当前路径
4、环境变量PROCESSOR_ARCHITECTURE设置为x86
5、SetEnvironments返回1成功
6、CmdLine:baidu.com 文件名称
7、创建了注册表:
8、离开了Setup.exe
图片十一:注册表创建
12、上面步骤是以日志过程分析的,根据实际汇编来看,创建进程以后才会进行注册表操作,如下所示:
图片十二:创建进程
13、剩下的就是命名为baidu.com.exe的可执行文件了,火绒见先运行看看行为,运行后竟然弹出了jpg,jpg的图片,如下所示:
图片十三:baidu.com.exe
14、这时候捋一捋,双击最开始快捷方式-->会执行VB-->执行jpg.exe-->执行baidu.com.exe打开图片.。
意味着双击快捷方式就会打开图片,其实已经运行了恶意程序baidu.com.exe程序,图片是为了伪装,迷惑受害者,以为双击的快捷方式就是一个图片(文章最后附整个思维导图)。
15、看一看火绒剑的监控信息,有明显的连接发送socket网络,意味着数据的泄露与恶意盗取,有着特洛伊的特性(远控),如下所示:
图片十四:行为监控
16、先线上分析一下,看一下更为精准的恶意描述,如下所示:
图片十五:线上分析
17、线上分析辨别出这并不是一个高危病毒(虽然不一定准确),有url与ip,意味着可能会下载恶意代码和上传系统/个人敏感数据。
其实这个没有壳,一开始已经拉入PDIE查看了基本信息,但是又压缩与加密函数,补图一张,如下所示:
图片十六:PEID分析
因为本篇帖子重点不是样本分析,所以最后样本不进行详细分析,整篇帖子注重于整个手法与伪装手段,如下所示:
图片十七:思维导图
转载于:https://blog.51cto.com/13352079/2365357
一个链接引发的“恶意执行”相关推荐
- 摘要: Druid连接池一个设置引发的血案 -- 链接池出现问题
摘要: Druid连接池一个设置引发的血案 今天在一台配置很低的机器上运行批量更新的程序~~~ 大概跑了三十分钟~~~这配置~~~这程序~~~ 然后华丽丽的报异常了~~~ 具体异常是这样的, DEBU ...
- 一个EXE引发的危机 — 浏览器劫持实战篇
一个EXE引发的危机 --浏览器劫持实战篇 作者:小金 转载请注明出处和作者 一. 一个EXE引发的危机 网络程序员小李最近有点忙,公司要做的网页工程项目已经快到尾期了,可是开发小组的进度仍然迟迟跟不 ...
- 接到一个需求,想在页面上加一个链接有多难?
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 程序师 来源 | www.techug.com ...
- Spring之LoadTimeWeaver——一个需求引发的思考---转
原文地址:http://www.myexception.cn/software-architecture-design/602651.html Spring之LoadTimeWeaver--一个需求引 ...
- 『转』度百死去飞秋一个BUG引发的血案
作了一篇文章度百死去飞秋一个BUG引发的血案,昨天,度百死去的美国客户发邮件给我,说我的软件出问题了,我查来查去,发现居然是服务器上一个目录无法删除,一删除就报 cannot read from th ...
- mysql 设置时区_MySQL实战干货 | 如何处理由时区设置引发的 SQL 执行“卡顿”?...
作者:田杰,阿里云数据库高级运维专家 查询执行时间长引发应用感知 "卡顿" 的场景在数据库的日常支持和使用中并不少见,但由于时区设置引发的 SQL 执行"卡顿" ...
- 一个链接泄露这么多隐私,你还敢拼多多助力吗?
目前拼多多助力已经是一个非常普遍的事请了,每隔一段时间拼多多会有一些非常优惠的助力活动,但是在商业竞争下的种种问题,导致拼多多助力传播的过程异常艰难,常有通过链接的方式进行助力. 但是,肯定每个人都有 ...
- 一个 Crash 引发的血案
背景 手淘 9.13.0 版本上线后,突然出现了一个首现 crash,废话不多说上堆栈 看起来很普通的一个 crash,报在手淘首页启动的瞬间,但是后续引发了一个很奇怪的问题,这篇文章就对这个问题的记 ...
- html点击按钮弹出悬浮窗_9种实现点击一个链接弹出一个小窗口的代码
9 种实现点击一个链接弹出一个小窗口的代码 因为着是一段 javascripts 代码, 所以它们应该放在之间. 是对一些版本低的浏览器起作用,在这些老浏览器中不会将 标签中的代码作为文本显示出来.要 ...
最新文章
- LeetCode中等题之删除链表的中间节点
- 一个简单的路由映射,让你的树莓派通过SSH外网可访问
- c++ 程序执行时间
- 第二次结对编程作业——毕设导师智能匹配
- 湖南大学第十六届程序设计竞赛 B Yuki with emofunc and playf 同余最短路
- php mysql 继承,重用MySQL连接PHP对象继承
- kubernetes视频教程笔记 (17)-Job和CronJob
- Linux如何在系统启动时自动加载模块 .
- 有效利用GRE红宝书
- NOIP2015斗地主
- win7计算机搜索文件搜不到,Win7搜不到文件如何解决?Win7搜不到文件的解决方法...
- 桌球java_java实现一个桌球小游戏
- html的国际标准智商测试,iq测试题国际标准30道 国际标准IQ测试多少分合格
- wordpress友联_WordPress制作独立的友情链接(Links)页面
- f4在计算机中的作用,F4键原来这么神奇!F4在办公时的妙用你知多少
- oracle中spool卸数,数据卸载--spool的使用
- 华为鸿蒙主题曲,【AVW分享】华为云《鲲鹏》主题曲,华为宣传片MV剪辑版,超级带感的音乐...
- Github使用教程(一)--搭建Github环境
- 北交计算机学院研究,北京交通大学计算机与信息技术学院研究生导师:黄雅平...
- 考研高等数学知识框架