對偽裝docx文件病毒的逆向分析

1.病毒文件的基本信息分析

1.1 病毒文件具體展示

病毒文件用的資源圖標(biāo)是wps的圖標(biāo)，以此讓大家誤認(rèn)為是docx文件，最終是為了誘導(dǎo)大家點(diǎn)擊打開病毒文件。

1.2 病毒信息具體提示

打開解壓病毒文件以及打開病毒文件就會被殺毒軟件提示是惡意軟件，它屬于trojan.generic病毒。

1.3 trojan.generic病毒的定義信息

trojan.generic它是計(jì)算機(jī)木馬名稱，啟動后會從體內(nèi)資源部分釋放出病毒文件，有些在WINDOWS下的木馬程序會綁定一個(gè)文件，將病毒程序和正常的應(yīng)用程序捆綁成一個(gè)程序，釋放出病毒程序和正常的程序，用正常的程序來掩蓋病毒。病毒在電腦的后臺運(yùn)行，并發(fā)送給病毒制造者。這些病毒除有正常的危害外，還會造成主流殺毒軟件和個(gè)人防火墻無法打開，甚至導(dǎo)致殺毒時(shí)系統(tǒng)出現(xiàn)“藍(lán)屏”、自動重啟、死機(jī)等狀況。

1.4 分析病毒的加殼情況

通過Exeinfo PE工具可以分析出該病毒樣本是沒有加殼的樣本，并且是64位程序。通過區(qū)段表信息可以看到它是個(gè)常規(guī)的PE文件。

1.5 分析病毒所依賴的模塊信息

通過CFF Explorer工具可以查看該病毒樣本主要依賴如下的5個(gè)模塊信息。

1.6 監(jiān)控病毒文件行為

通過Procmon進(jìn)程監(jiān)控工具進(jìn)行可以監(jiān)控進(jìn)程啟動時(shí)，該病毒文件會刪除自身文件，并重新創(chuàng)建一個(gè)新docx文件并將原來的文件內(nèi)容寫入到文件中。

下面是病毒運(yùn)行后釋放出來的原始文件，第二個(gè)文件是為了分析用，不讓其進(jìn)行自動刪除病毒文件。

2.病毒文件的關(guān)鍵功能信息分析

2.1 病毒樣本的反調(diào)試功能

背景：ollydbg動態(tài)逆向分析工具附加病毒文件進(jìn)程，病毒文件就直接退出了，所以猜測該病毒樣本具體反調(diào)試功能。

病毒樣本的反調(diào)試功能函數(shù)：IsDebuggerPresent()

過掉反調(diào)試功能：通過API Hook(可以用微軟Detours庫)方式將反調(diào)試功能函數(shù)給Hook掉，讓其反調(diào)試功能失效，這樣我們的ollydbg動態(tài)調(diào)試工具才能正常調(diào)試。

IsProcessorFeaturePresent()函數(shù)詳解

IsDebuggerPresent()函數(shù)詳解

2.2 每次只能啟動一個(gè)病毒樣本實(shí)例

通過創(chuàng)建互斥體CreateMutexA()方式進(jìn)行實(shí)現(xiàn)功能

CreateMutex()函數(shù)詳解

2.3 病毒文件結(jié)束自身進(jìn)程

釋放完原始的docx文件后，病毒文件就通過如下方式進(jìn)行結(jié)束自身進(jìn)程，并通過獲取mscofee模塊中未導(dǎo)出的函數(shù)并調(diào)用corExitProcesss函數(shù)實(shí)現(xiàn)關(guān)閉當(dāng)前進(jìn)程的非托管進(jìn)程。

2.4 啟動原始的docx文件

通過CreateProcess()函數(shù)方式進(jìn)行啟動打開docx文件。

2.5 進(jìn)行信息收集上傳

通過TCP網(wǎng)絡(luò)傳輸方式進(jìn)行數(shù)據(jù)的信息收集并上傳到病毒服務(wù)器(服務(wù)器ip在山西某地)上，其中服務(wù)器信息及上傳的內(nèi)容通過進(jìn)行MD5加密并進(jìn)行處理。

3. 總結(jié)

通過對該病毒樣本的基本信息分析，可以了解到該病毒的整個(gè)流程是：啟動病毒文件獲取病毒文件的路徑及文件相關(guān)信息，釋放出原始的文件到病毒文件所在的路徑，并將運(yùn)行的環(huán)境信息上傳到病毒服務(wù)器，接著自動刪除病毒文件，最后啟動原始的文件。

通過對病毒逆向分析，可以了解到調(diào)用IsDebuggerPresent()函數(shù)可以實(shí)現(xiàn)反調(diào)試檢測功能。

end

點(diǎn)個(gè)

在看

你最好看