一个链接引发的“恶意执行”

引子:
?最近研究算法上瘾了,也分析了一些最新的恶意软件(后续更),今早浏览样本的时候发现一款老病毒,大体分析了一下,还算有趣所以简单分享一下。
?
病毒分析:
?1、解压样本后,只发现了一个链接??链接名叫账号密码,我第一次看到竟然双击了(其实知道有隐藏文件,习惯性的操作很可怕),双击后感觉就中招了,如下所示:


????????????????????图片一:样本
?2、右击查看一下链接属性及链接位置,发现是一个该文件夹下vb脚本的快捷方式,调整一下文件夹显示属性:


????????????????????图片二:VBS
3、用010打开.vbs来看一下代码,如下所示:

????????????????????图片三:隐式执行
4、利用shell执行了~\jpg.exe,打开文件夹继续跟中一下,如下所示:

????????????????????图片四:隐士文件夹
?5、文件夹中有jpg.jpg图片,还有.ini初始化文件,怎么下手分析?Shell对象执行了jpg.exe,那么静态分析,不过先看一下jpg图片与.ini数据,如下所示:

????????????????????图片五:数据查看
6、IDA中静态观察一下jpg.exe安装程序,如下所示:

????????????????????图片六:jpg.exe
7、因为是分析过了,所以函数名称已改成WriteLog,进入函数分析一下:

????????????????????图片七:追加(创建)日志
8、日期格式化输出,写入文件,如下所示:


????????????????????图片八:C标准文件流
9、然后设置了环境变量等属性,如下所示:


????????????????????图片九:环境属性
10、分享一段汇编代码,memset的汇编原理,从汇编来看,真的是高效率(论时效)如下:

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

来看rep stos这条指令,如下所示:

操作码 指令 详细
F3 AA REP STOS m8 使用 AL 填写位于 ES:[(E)DI] 的 (E)CX 个字节
F3 AB REP STOS m16 使用 AX 填写位于 ES:[(E)DI] 的 (E)CX 个字
F3 AB REP STOS m32 使用 EAX 填写位于 ES:[(E)DI] 的 (E)CX 个双字

11、IDA整体浏览了一下,发现每一个操作都会有详细的日志记录,而且以Entry -- Leave为完成标志,日志记录如下:

????????????????????图片十:日志记录
解析整个流程如下:
?1、进入Setup.exe安装
?2、调用了SetEnvironment
?3、环境变量SetupExeLocation设置为C:\Users\15pb-win7\Desktop\当前路径
?4、环境变量PROCESSOR_ARCHITECTURE设置为x86
?5、SetEnvironments返回1成功
?6、CmdLine:baidu.com 文件名称
?7、创建了注册表:
?8、离开了Setup.exe


????????????????????图片十一:注册表创建
?12、上面步骤是以日志过程分析的,根据实际汇编来看,创建进程以后才会进行注册表操作,如下所示:


????????????????????图片十二:创建进程
?13、剩下的就是命名为baidu.com.exe的可执行文件了,火绒见先运行看看行为,运行后竟然弹出了jpg,jpg的图片,如下所示:

????????????????????图片十三:baidu.com.exe
?14、这时候捋一捋,双击最开始快捷方式-->会执行VB-->执行jpg.exe-->执行baidu.com.exe打开图片.。
?意味着双击快捷方式就会打开图片,其实已经运行了恶意程序baidu.com.exe程序,图片是为了伪装,迷惑受害者,以为双击的快捷方式就是一个图片(文章最后附整个思维导图)。

 15、看一看火绒剑的监控信息,有明显的连接发送socket网络,意味着数据的泄露与恶意盗取,有着特洛伊的特性(远控),如下所示:

????????????????????图片十四:行为监控
16、先线上分析一下,看一下更为精准的恶意描述,如下所示:


????????????????????图片十五:线上分析

?17、线上分析辨别出这并不是一个高危病毒(虽然不一定准确),有url与ip,意味着可能会下载恶意代码和上传系统/个人敏感数据。
?其实这个没有壳,一开始已经拉入PDIE查看了基本信息,但是又压缩与加密函数,补图一张,如下所示:


????????????????????图片十六:PEID分析
?因为本篇帖子重点不是样本分析,所以最后样本不进行详细分析,整篇帖子注重于整个手法与伪装手段,如下所示:

????????????????????图片十七:思维导图

原文地址:https://blog.51cto.com/13352079/2365357

时间: 2024-10-05 11:12:47

一个链接引发的“恶意执行”的相关文章

一个无线网卡引发的血案

经常听说一个馒头引发血案,今天我要说的是一个无线网卡的故事...... 最近有同事反应无线网卡连接公司网络无法正常连接,但是连接家里的网络是OK了,于是让桌面支持的同事检测了一下,结果他们把系统重新安装了也还是不能够正常连接,为此只能自己出马了: 1.更新驱动至最新版 查看了一下网卡型号为Intel wireless-N 1030 ,于是下载了一个最新的网卡驱动给其安装了Wifi_Intel_Win7_32_VER15312.zip 2.开启无线事件记录功能 采集日志发现以下错误: #Event

Replication的犄角旮旯(六)-- 一个DDL引发的血案(上)(如何近似估算DDL操作进度)

原文:Replication的犄角旮旯(六)-- 一个DDL引发的血案(上)(如何近似估算DDL操作进度) <Replication的犄角旮旯>系列导读 Replication的犄角旮旯(一)--变更订阅端表名的应用场景 Replication的犄角旮旯(二)--寻找订阅端丢失的记录 Replication的犄角旮旯(三)--聊聊@bitmap Replication的犄角旮旯(四)--关于事务复制的监控 Replication的犄角旮旯(五)--关于复制identity列 Replicati

一个贴子引发的对回调的思考

一个贴子引发的对回调的思考 网上看到一个贴子:http://topic.csdn.net/u/20080728/20/d60f719a-c103-44b8-8d0c-bc1c818b768a.html 觉得蛮有意思,在学习的工程中又引申出不少东西,真有趣!! 定义在类中方法之外的内部类分为实例内部类和静态内部类. 实例内部类自动持有外部类的实例的引用,即可以访问外部类的所有变量: 静态内部类可以直接访问外部类的静态成员: 定义在方法中的内部类叫局部内部类,该类只能访问被final修饰的局部变量和

Replication的犄角旮旯(七)-- 一个DDL引发的血案(下)(聊聊logreader的延迟)

原文:Replication的犄角旮旯(七)-- 一个DDL引发的血案(下)(聊聊logreader的延迟) <Replication的犄角旮旯>系列导读 Replication的犄角旮旯(一)--变更订阅端表名的应用场景 Replication的犄角旮旯(二)--寻找订阅端丢失的记录 Replication的犄角旮旯(三)--聊聊@bitmap Replication的犄角旮旯(四)--关于事务复制的监控 Replication的犄角旮旯(五)--关于复制identity列 Replicat

由一个emoji引发的思考

由一个emoji引发的思考 从毕业以来,基本就一直在做移动端,但是一直就关于移动端的开发,各种适配问题的解决,在日常搬砖中处理了就过了,也没有把东西都沉淀下来,觉得甚是寒颜.现就一个小bug,让我们来了解一下我们天天都在用的emoji,对于开发来说,是一个怎么样的存在. 背景 之前在做一个留言功能时,发现在其中一台安卓5.0的手机上,输入emoji糊掉了,成了如下这样的情况 这是skr啥玩意儿呀,怎么看上去像某白色幼虫. 与是我又试了好几个手机,ios都没有问题,甚至一台安卓机中之霸(安卓4.0

手机中点击一个链接或文本输入框出现一个半透明的背景的问题

刚开始接触移动端的开发,发现input元素在iPhone中获得焦点时会出现一个半透明的背景,如图: 要去掉这个半透明背景需要设置以下样式 -webkit-tap-highlight-color:rgba(0,0,0,0); tap-highlight-color:rgba(0,0,0,0); 补充下网上的资料说明: 当你点击一个链接或输入框元素时,就会出现一个半透明的灰色背景. tap点击,highlight背景高亮,color颜色,颜色用数值调节 手机中点击一个链接或文本输入框出现一个半透明的

HTML中使用&lt;input&gt;添加的按钮打开一个链接

在HTML中,<form>表单的<input type="button">可以添加一个按钮.如果想让该按钮实现<a> 的超链接功能,需要如下实现: 在新的窗口中打开页面(target = blank):<input type="button" onclick="window.open('new.jsp')"> 在当前窗口中打开页面(target = self)  :  <input type=

分享如何在github上为代码创建一个链接

从自学前端到现在差不多一个月了,在此期间,一直有一种困惑,如何将自己电脑中编写的代码生成一个链接,以便可以发布呢?今天有幸被高人指点一二,现将其分享. 第一步,网上注册一个github账号 第二步,新建一个repository 注意:这里选择public,而不是private 点击create repository 第三步,选择一个主题,点击settings 第四步,添加自己的代码 建立一个新的文件,比如 保存 删掉index.md 第五步,复制链接 https://941117pml.gith

jQuery EasyUI使用教程之创建一个链接按钮

<jQuery EasyUI最新版下载> 本教程主要为大家展示如何使用jQuery EasyUI创建一个链接按钮.通常情况下,使用"button/"元素来创建一个按钮:使用"a/"元素来创建链接按钮.所以事实上一个链接按钮是一个显示为按钮样式"a/"元素. 查看演示 为了创建一个链接按钮,你所需要做的就是添加一个名为'easyui-linkbutton'的类属性到"a/"元素中: < div style =