malware_DLL注入病毒分析

前言

学无止境、道阻且长啊。继续分析病毒的旅程,这次是一个DLL注入病毒。

病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff

样本MD5:6E4B0A001C493F0FCF8C5E9020958F38

app.any.run地址:https://app.any.run/tasks/7d905b18-2ca8-4cbd-8974-6134daddcb4a/

提取密码:infected

参考链接:https://blog.csdn.net/weixin_44001905/article/details/98963175

1. 基础行为分析

1.1 病毒查壳

无壳,也没有什么特殊信息,很正常的一个信息

image-20210407160038734

1.2 加密算法

含有大数运算

image-20210407160405951

1.3 云沙箱分析

使用微步云沙箱分析

image-20210407161042792

image-20210407161100018

image-20210407161124323

2. 主要行为分析

通过火绒剑过滤进程行为,可以看到病毒释放了一个压缩包(g.zip)和一个dll文件(locale.dll),然后对资源管理器进行注入,最后自删除。

image-20210407170828284

病毒执行完成后会访问某恶意网站,从而下载所需。由于该恶意网站已被查封,故无法访问成功

image-20210407164525192

当然也可以使用fakenet模拟虚拟网络环境,这样可以更清楚的观察到病毒的操作流程

1
2
3
http://www.kahusecurity.com/downloadsConverter_v0.14.7z

http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg

image-20210410120956014

3. 恶意代码分析

3.1 sub_402A10

main函数首先获取进程相关联的控制台窗口句柄,以隐藏的方式运行。然后进入TraversalTerminateProcess函数,函数执行了三次,每次传入的数据都是检测工具的进程名,看到这个函数内部获取快照遍历进程,并出现TerminateProcess api函数,推测是检测是否存在检测工具并杀死检测工具进程。

image-20210410153849828

image-20210410153905221

给edx赋值路径

image-20210410155302778

image-20210410155314709

完成对路径C:\Users\VicZ\AppData\Local\Temp\x.zip的拼接

image-20210410155506261

image-20210410160028618

在402B90处通过this指针传入一串混乱的字符串,并调用sub_402990函数进行解密

image-20210410160219322

image-20210410160252219

image-20210410160316880

1
2
7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht
http://www.kahusecurity.com/downloadsConverter_v0.14.7z

image-20210410163541223

再往下还有一张图片待下载,同上还有对路径C:\Users\VicZ\AppData\Local\Temp\g.zip的拼接

image-20210410163938228

image-20210410164506574

image-20210410164537751

1
2
3
# 该网址由于已被废弃,因此无法访问
jp3.r-pepallway-wa-angyifls-owcrs/gema/iom.ceflierap/p:/tphtg
http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg

通过在线云沙箱可以拿到这个图片(原网址已不可访问,无法正常下载)

image-20210410164738443

下面先设置文件属性,然后获取一串16进制数据

image-20210410170947752

通过sub_401F00函数转化出ASCII码cmd.exe /C ping 127.0.0.1 && del

image-20210410171651657

3.2 sub_402110

用于判断文件是否下载成功

image-20210410163844969

3.3 sub_402690

该函数首先创建一个文件:C:\windows\system32\locale.dll,获取缓冲区首地址,解密缓冲区内容为一个PE文件,将缓冲区内容写入到locale.dll文件中

image-20210410165123163

image-20210410165923907

循环解密部分

image-20210410170729869

线程注入部分

先将notepad.exe进程创建的时间设置为C:\windows\system32\locale.dll创建的时间,然后远程线程注入explorer.exe

image-20210410165139858

image-20210410165150379

3.4 网址解密脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
# python2
# foxcookie.github.io
str1 = '7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht'
str1 = str1[::-1]
num = len(str1)
list1 = list(str1)
i = 0

for k in range(num/4):
	list1[i],list1[i+1],list1[i+2],list1[i+3] = list1[i+1],list1[i],list1[i+3],list1[i+2]
	i = i + 4
str2 = ''.join(list1)
print(str2)
1
2
3
4
解密原理:
逆序
四位一组
1 2换位、3 4换位

3.5 locale.dll

入口函数

image-20210410174409035

sub_1000162A函数用于获取时间信息

image-20210410174516622

sub_10001362函数

image-20210410175231968

StartAddress函数

循环解密出http://d1picvugn75nio.cloudfront.net,然后调用浏览器访问

image-20210410181249135

sub_10001188函数,根据传入值判断返回何种结果

image-20210410181535166

传入值为1

image-20210410181812882

传入值为2

image-20210410181918623

传入值不为3

image-20210410181939420

4. 手动查杀木马

1、删除cookies目录下生成的两个文件

2、删除生成的注册表

3、删除下载的文件

4、删除C:\windows\system32\locale.dll文件

本文作者: foxcookie
发布时间: 2021-04-15
最后更新: 2022-12-14
本文标题: malware_DLL注入病毒分析
本文链接: https://foxcookie.github.io/2021/04/15/malware-DLL注入病毒分析/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

歪比巴卜?