1240

原文出自看雪论坛:[原创]一款勒索病毒的详细分析-『软件逆向』-看雪安全论坛

0×01 程序信息

大小:2,132,992 字节

MD5:671ec2f2b246113f65a0afd1c53c5c3b

壳:UPX 0.89.6 – 1.02 / 1.05 – 2.90

编写语言:易语言

0×02 程序行为

开机自启

修改浏览器信息

禁用UAC

进程检测

加密文件

发送数据到指定邮箱

0×03 运行截图

1240

0×04 脱壳去花指令

采用UPX加壳,通过ESP定律脱壳

1240

脱壳后: 从入口特征判断为VC++6.0编译[易语言]

1240

程序插入了大量花指令

1240

用OD插件E Junk Code 轻松去除

1240

去除花指令后

1240

0×05 分析思路

从病毒的行为判断所调用的API,在所调用的API下断点,然后通过栈回溯找到关键函数。

程序所用到的API:

病毒运行后会隐藏自身文件(SetFileAttributes)

修改注册表信息(RegOpenKey、RegSetValue)

遍历文件(FindFirstFile)等等

SetFileAttributes设置断点,然后查看调用堆栈,回溯到关键函数

1240

0×06 关键函数分析

函数功能:设置程序开机启动、隐藏程序文件、修改浏览器信息、禁用UAC、生成解密KEY(30位随机值)、创建加密线程.

1240
1240

加密所有文件后,会在Temp目录下生成Victim.tmp文件,程序运行后会判断Temp目录下是否有Victim.tmp文件,没有则创建加密线程,如果已经存在Victim.tmp文件,则直接加载勒索窗口。

1240

创建线程后,程序执行消息循环,然后系统会调用线程回调函数

1240

0×07 线程回调函数分析

函数功能:遍历全盘文件,加密指定后缀文件

*.zip.*.rar.*.7z.*.txt.*.doc.*.pptx.*.wps.*.jpg.*.jpeg.*.gif.*.bmp.*.png.*.swf.*.wav.*.mp3.*.mp4.*.avi.*.rmvb.*.xis.*.htm.*.html.*.e.*.ec.*.bak.*.docx.*.ico.*.rtf.*.xlsx.*.c.*.h.*.cpp.*.php.*.pps.*.pdf.*.fla.*.asm.*.dot.

加密后会生成对应后缀的文件

*.zip —– *.XiaoBa1

*.rar —– *.XiaoBa2

……

线程回调函数0x40F82B设置断点

1240

进入线程主函数0x4065D8

1240

加密完成后

1240

0×08 勒索窗口事件分析

函数功能:把用户的IP、CPU信息、屏幕截图、系统信息、解密信息发送到指定邮箱

InternetOpen设置断点,通过回溯找到关键函数

1240
1240

发送的数据格式

1240

0×09 进程检测函数追踪

函数功能:程序加载时,会创建一个定时器,每隔一秒调用一次进程检测的函数,通过CreateToolHelp32Snapshot创建进程快照的方式遍历进程,检测到指定进程后,会尝试结束进程。

SetTimer设置断点

1240

Timerproc为NULL,说明调用的是系统默认的回调函数OnTimer(),DispatchMessage设置条件断点[[esp+4]+4](esp+4 是MSG对象的地址 [esp+4]+4是消息类型)

WM_TIMER == 0x113

1240

断下时的堆栈如下:

1240

然后在代码段设置访问中断

1240

F9运行,直接到窗口回调函数

1240

进入窗口回调继续分析,注意堆栈数据,

1240

跟进0x4AEDED

1240

跟进0x4AEE31

1240

继续跟踪分析onTimer,最终调用进程检测函数

1240

函数检测的进程列表:

taskmgr.exe

OllyDbg.exe

吾爱**[LCG].exe

MSASCuiL.exe

RAVmon.exe

RAVtimer.exe

rav.exe

360Tray.exe

360Safe.exe

ZhuDongFangYu.exe

360sd.exe

KSafeSvc.exe

KSafeTray.exe

kxetray.exe

kxescore.exe

QQPCTray.exe

QQPCRTP.exe

BaiduSdSvc.exe

BaiduSdTray.exe

BaiduAnTray.exe

BaiduAnSvc.exe

avp.exe

egui.exe

ekrn.exe

MsMpEng.exe

msseces.exe

0x0A加密函数分析:

1240

用CPU***生成一个大小为0xFF的Key表

1240

通过计算得到一个Key表索引,取Key值异或数据

1240

IDA分析生成Key表函数

1240

IDA分析加密数据函数

1240

因为加密只采用了异或运算,所以加密算法也是解密算法。

文件还原代码

#include “stdafx.h”

#include

BYTE *__cdecl unknown_libname_467(BYTE *a1, BYTE *a2)

{

BYTE *result; // [email protected]

char v3; // [email protected]

result = a1;

v3 = *a1;

*a1 = *a2;

*a2 = v3;

return result;

}

int __cdecl MakeKeyTable(int a1, signed int a2, int a3)

{

signed int v3; // [email protected]

int v4; // [email protected]

int result; // [email protected]

int v6; // [email protected]

BYTE *v7; // [email protected]

bool v8; // [email protected]

signed int v9; // [sp+4h] [bp-8h]@4

unsigned __int8 v10; // [sp+18h] [bp+Ch]@4

v3 = 0;

v4 = a3;

do

{

*(BYTE *)(v3 + a3) = v3;

++v3;

} while (v3 < 256);

result = a2;

*(BYTE *)(a3 + 256) = 0;

*(BYTE *)(a3 + 257) = 0;

if (a2 > 0)

{

v10 = 0;

v6 = 0;

v7 = (BYTE *)v4;

v9 = 256;

do

{

v6 = (unsigned __int8)(*(BYTE *)(v10 + a1) + v6 + *v7);

unknown_libname_467(v7++, (BYTE *)(v6 + v4));

result = v9 – 1;

v8 = v9– == 1;

v10 = (v10 + 1) % a2;

} while (!v8);

}

return result;

}

unsigned __int8 __cdecl Decrypt(int a1, int a2, int a3)

{

int v3; // [email protected]

int v4; // [email protected]

unsigned __int8 result; // [email protected]

unsigned __int8 v6; // [email protected]

unsigned __int8 v7; // [email protected]

unsigned __int8 v8; // [email protected]

BYTE *v9; // [email protected]

BYTE *v10; // [email protected]

unsigned __int8 v11; // [sp+8h] [bp-Ch]@3

unsigned __int8 v12; // [sp+20h] [bp+Ch]@1

unsigned __int8 v13; // [sp+20h] [bp+Ch]@3

v3 = a3;

v4 = 0;

result = *(BYTE *)(a3 + 256);

v6 = *(BYTE *)(a3 + 257);

v12 = *(BYTE *)(a3 + 256);

if (a2 <= 0)

{

*(BYTE *)(v3 + 256) = result;

*(BYTE *)(v3 + 257) = v6;

}

else

{

v7 = v12;

v8 = v6;

do

{

v13 = v7 + 1;

v7 = v13;

v9 = (BYTE *)(v13 + v3);

v11 = v8 + *v9;

v8 = v11;

v10 = (BYTE *)(v3 + v11);

unknown_libname_467(v9, v10);

*(BYTE *)(v4++ + a1) ^= *(BYTE *)(((*v9 + *v10) & 0xFF) + v3);

} while (v4 < a2);

result = v11;

*(BYTE *)(v3 + 256) = v13;

*(BYTE *)(v3 + 257) = v11;

}

return result;

}

int main()

{

//加密文件

HANDLE
hEntyrptFile = CreateFile(L”D:\\1.XiaoBa1″, GENERIC_READ |
GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, NULL);

DWORD dwFileSize = GetFileSize(hEntyrptFile, NULL);

PBYTE pFileBuffer = new BYTE[dwFileSize];

ZeroMemory(pFileBuffer,dwFileSize);

DWORD dwRead = 0;

ReadFile(hEntyrptFile, pFileBuffer, dwFileSize, &dwRead, NULL);

//CPU***

char cpuid[] = “0FABFBFF000306A9”;

//***长度

int length = 0x10;

BYTE KeyTable[257] = { 0 };

MakeKeyTable((int)cpuid, length, (int)KeyTable);

Decrypt((int)pFileBuffer, dwFileSize, (int)KeyTable);

HANDLE hDecryptFile = CreateFile(L”D:\\1.zip”,GENERIC_WRITE|GENERIC_READ,0,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);

WriteFile(hDecryptFile, pFileBuffer, dwFileSize, &dwRead, NULL);

CloseHandle(hEntyrptFile);

CloseHandle(hDecryptFile);

delete pFileBuffer;

system(“pause”);

return 0;

}

本文由看雪论坛 Vamcy 原创,转载请注明来自看雪社区

版权声明:本文为匿名原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: