病毒分析第二讲,分析病毒的主要功能

             病毒分析第二讲,分析病毒的主要功能

经过昨天病毒分析第一讲,得出一个被注入的DLL

开始分析DLL主要功能

PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看,只看重要的API

一丶行为分析(创建命名互斥体,防止病毒多开)

进入函数去看,从DLLmain入口点分析.

得出,第一步,病毒为了防止重复注入IE,创建命名互斥体.

名字是:  "KyUffThOkYwRRtgPP"

 二丶拼接字符串,创建文件,写入系统当前时间

进入DLLmain第二个函数查看.

PS:分析到哪里都已经改名字了,原名字不是Init,这个是根据分析里面的函数调用的出来的.

点击进入,查看具体怎么做了

 根据分析,可以分为四部分去看

1.初始化各种数据

2.经过一些列自己写的算法运算

3.获取磁盘和驱动器的信息,并且处理文件

4.写入系统时间(需要跟随大里面去看)

虚拟机动态调试查看.

第一次,通过动态分析,得出会拼接一个字符串,为

当前的: C:Documents and settings\Administrator\桌面\xxxx\dmiconf.data

 第二此分析,得出,在目录下面创建这个文件

写入的内容是时间

得出第二次行为:

创建文件dmlconf.dat在当前目录,并且写入文件内容为当前时间

三丶分析行为三,写入注册表,实现开机自启动

继续分析DLLmain下面的API

点击API进去查看.

里面还有一层,进去查看.没有命名的函数都是无关紧要的,这些都是实现命名过了.

进去一层则看到

1.打开注册表

2.遍历注册表的值

3.修改注册表的值

4.关闭注册表

此时我们需要动态查看是进入是修改的那个注册表了.

1.找到线程回调

image.png

2.线程回调进入下段点,并设置为新的EIP

设置的快捷键是 Ctrl + * 键

3.进入Call查看 

 4.查看注册表操作

得出了要操作注册表

HEEY_LOCAL_MACHINE Software\Microsoft\Windows NT\CurrentVersion\Winlogon

这个正好是开机启动项

经过上面和下面的分析,得出先获取注册表的值,然后申请内存

写入我们的内容

时间关系,不一步一不的跟了.

其实跟进去看的话她会设置自己的子体到里面,这样就会开机自启动了.

四丶网络相关

 此病毒还涉及到网络相关,但是现在这个病毒现在也链接不了服务器了.所以网络相关的掠过

如果想明白原理,建议自己跟一下看下也可以.

五丶修改PE文件,修改Html

此功能昨天已经快速定位到了.

鉴于时间关系不一步一步的分析了.此次样本分析完毕.

得出行为:

  1.使用命名互斥体,防止多开

  2.创建文件在dmlconf.dat在C盘目录下,并写入时间

  3.写入注册表开机自动启动

  4.链接服务器,发送和接受数据

  5.修改PE,以及html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏乐百川的学习频道

Intellij IDEA 2017.3 基于编辑器的REST客户端介绍

最近Intellij IDEA更新到了2017.3这一版本,这个版本又增加了很多新功能。我觉得其中这个基于编辑器的REST客户端这个功能很不错,可以为我们带来很...

2458
来自专栏向治洪

深入理解Android Build系统

概述 Android Build 系统是用来编译 Android 系统、Android SDK 以及相关文档的一套框架。在Android系统中,Android ...

2146
来自专栏博客园迁移

dubbo见解

  服务容器负责启动,加载,运行服务提供者。   服务提供者在启动时,向注册中心注册自己提供的服务。   服务消费者在启动时,向注册中心订阅自己所需的服务。  ...

1722
来自专栏云原生架构实践

JHipster生成微服务架构的应用栈(二)- 认证微服务示例

这里选择JHipster UAA server,这是一种基于OAuth认证机制的微服务。

2684
来自专栏向治洪

eclipse搭建ssh后台

SSH框架是最常用的框架之一,在搭建SSH框架的时候总有人遇到这样,那样的问题。下面我介绍一下SSH框架搭建的全过程。  第一步:准备工作。    下载好...

4655
来自专栏cmazxiaoma的架构师之路

蛋疼的ElasticSearch(三)之配置elasticsearch-analysis-ik和集群

1.下载https://github.com/medcl/elasticsearch-analysis-ik

5473
来自专栏SpringBoot

springboot,全部配置文件

5001
来自专栏杂七杂八

搭建SSM开发框架

之前也使用过SSM开发web项目,但是一直没有详细深入的研究。现在准备从头学起,围绕一个或两个小项目,将SSM框架基本流程搞清楚。下面首先进行项目的搭建。 JD...

6966
来自专栏Java架构沉思录

揭秘JDBC超时机制

在遭到DDos攻击后,整个服务都垮掉了。由于第四层交换机不堪重负,网络变得无法连接,从而导致业务系统也无法正常运转。安全组很快屏蔽了所有的DDos攻击,并恢复了...

1943
来自专栏技术专栏

SpringMVC添加异步请求支持

注意web.xml应用需在所有的servlet和filter配置加上<async-supported>true</async-supported>

9021

扫码关注云+社区

领取腾讯云代金券