病毒专题丨 plugx病毒

一、病毒简述

之前分析了一下，分析的较为简单，这次又详细分析了一下。 文件名称 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 文件格式 RAR 文件类型(Magic) RAR archive data, v5 文件大小 157.74KB SHA256 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 SHA1 1c251974b2e6f110d96af5b23ad036954ba15e4e MD5 c1c9624b21f71e4565b941a37db3815a CRC32 59832D3D SSDEEP 3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha TLSH T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92 Tags rar,contains_pe

二、环境准备

三、行为分析

打开火绒剑监控：

可以看到这里创建了文件夹，文件夹中创建了三个文件。最后有设置了注册表自启动，并退出当前进行，启动了拷贝入新目录的进程。

之后就是很多的网络链接。

这里又对文件进行了创建写入移动等操作，然后一直有网络链接的操作。

四、静态分析

1、病毒本体

病毒本体拖入Ida，打开start，F5

可以看到这里很纯洁，加载了wsc.dll，并调用run函数，我们继续调试wsc.dll中run函数。

2、wsc.dll

跟进run函数，到达后到最下面：

这里主要是一个LocalAlloc，申请了一段空间，然后进行for循环解密赋值，随后进入100015D0函数。

这是函数VirtualProtect函数，修改了内存属性，随后开始调用这段Shellcode。我们动态附加病毒，跟进run函数，记录LocalAlloc函数申请空间地址，等for循环结束之后，二进制复制拷出这段内存，在010Editor中进行保存为文件，拖到Ida中，可以发现是一个dll。

3.shellcode分析

跟进dllmain函数，到了这里：

通过进程参数，进行不同的函数功能，首先分析case1：

3.1、case1

进入sub_100090E0： 图1：

图2：

图3：

可以看到这里是对exe，dll，dat三个文件在系统目录中的一个拷贝过程。

之后在这里设置了程序自启动，结合病毒行为分析，这里的createProcess函数是启动了拷贝之后的exe，case1第二个函数是ExitProcess函数，这里很简单很简单，就到这里。

3.2、case2

第一个函数是创建互斥体，完事后面进行参数比较，首先看函数sub_10014580：

这里是设置了出册表network/version为1，返回去。 函数sub_100090E0和case1中一样，继续看函数sub_100153A0：

先看第一个函数：

看addtoken：

可以看到这里是一个提权操作，接下来返回去看第二个函数：

这里有四个函数，第一个是找到传入进程名，完事通过KillProcess函数杀掉。先看第一个函数：

退出来，返回上一层看第三个函数：

进入MyFileDeleandDir：

可以看到这里就是删除文件，删除目录等操作。返回上层，看第四个函数sub_100119A0：

删掉注册表自启动。 返回到case2，看函数sub_100019B0：

分析函数sub_100164D0：

简单的创建一个窗口。看函数sub_100165A0：

这里是获取消息并处理。DestroyWindow是销毁窗口。最后看79行MySub_0,里面是创建了一个线程，跟进去回调：

这里简单看了一下，都是网络连接之类的和获取本机信息的操作。

3.3、case3

这里是文件拷贝，查找窗口发送消息，打开了shell的操作。