一款勒索病毒的详细分析
原文出自看雪论坛:[原创]一款勒索病毒的详细分析-『软件逆向』-看雪安全论坛
0×01 程序信息
大小:2,132,992 字节
MD5:671ec2f2b246113f65a0afd1c53c5c3b
壳:UPX 0.89.6 – 1.02 / 1.05 – 2.90
编写语言:易语言
0×02 程序行为
开机自启
修改浏览器信息
禁用UAC
进程检测
加密文件
发送数据到指定邮箱
0×03 运行截图
0×04 脱壳去花指令
采用UPX加壳,通过ESP定律脱壳
脱壳后: 从入口特征判断为VC++6.0编译[易语言]
程序插入了大量花指令
用OD插件E Junk Code 轻松去除
去除花指令后
0×05 分析思路
从病毒的行为判断所调用的API,在所调用的API下断点,然后通过栈回溯找到关键函数。
程序所用到的API:
病毒运行后会隐藏自身文件(SetFileAttributes)
修改注册表信息(RegOpenKey、RegSetValue)
遍历文件(FindFirstFile)等等
SetFileAttributes设置断点,然后查看调用堆栈,回溯到关键函数
0×06 关键函数分析
函数功能:设置程序开机启动、隐藏程序文件、修改浏览器信息、禁用UAC、生成解密KEY(30位随机值)、创建加密线程.
加密所有文件后,会在Temp目录下生成Victim.tmp文件,程序运行后会判断Temp目录下是否有Victim.tmp文件,没有则创建加密线程,如果已经存在Victim.tmp文件,则直接加载勒索窗口。
创建线程后,程序执行消息循环,然后系统会调用线程回调函数
0×07 线程回调函数分析
函数功能:遍历全盘文件,加密指定后缀文件
*.zip.*.rar.*.7z.*.txt.*.doc.*.pptx.*.wps.*.jpg.*.jpeg.*.gif.*.bmp.*.png.*.swf.*.wav.*.mp3.*.mp4.*.avi.*.rmvb.*.xis.*.htm.*.html.*.e.*.ec.*.bak.*.docx.*.ico.*.rtf.*.xlsx.*.c.*.h.*.cpp.*.php.*.pps.*.pdf.*.fla.*.asm.*.dot.
加密后会生成对应后缀的文件
*.zip —– *.XiaoBa1
*.rar —– *.XiaoBa2
……
线程回调函数0x40F82B设置断点
进入线程主函数0x4065D8
加密完成后
0×08 勒索窗口事件分析
函数功能:把用户的IP、CPU信息、屏幕截图、系统信息、解密信息发送到指定邮箱
InternetOpen设置断点,通过回溯找到关键函数
发送的数据格式
0×09 进程检测函数追踪
函数功能:程序加载时,会创建一个定时器,每隔一秒调用一次进程检测的函数,通过CreateToolHelp32Snapshot创建进程快照的方式遍历进程,检测到指定进程后,会尝试结束进程。
SetTimer设置断点
Timerproc为NULL,说明调用的是系统默认的回调函数OnTimer(),DispatchMessage设置条件断点[[esp+4]+4](esp+4 是MSG对象的地址 [esp+4]+4是消息类型)
WM_TIMER == 0x113
断下时的堆栈如下:
然后在代码段设置访问中断
F9运行,直接到窗口回调函数
进入窗口回调继续分析,注意堆栈数据,
跟进0x4AEDED
跟进0x4AEE31
继续跟踪分析onTimer,最终调用进程检测函数
函数检测的进程列表:
taskmgr.exe
OllyDbg.exe
吾爱**[LCG].exe
MSASCuiL.exe
RAVmon.exe
RAVtimer.exe
rav.exe
360Tray.exe
360Safe.exe
ZhuDongFangYu.exe
360sd.exe
KSafeSvc.exe
KSafeTray.exe
kxetray.exe
kxescore.exe
QQPCTray.exe
QQPCRTP.exe
BaiduSdSvc.exe
BaiduSdTray.exe
BaiduAnTray.exe
BaiduAnSvc.exe
avp.exe
egui.exe
ekrn.exe
MsMpEng.exe
msseces.exe
0x0A加密函数分析:
用CPU***生成一个大小为0xFF的Key表
通过计算得到一个Key表索引,取Key值异或数据
IDA分析生成Key表函数
IDA分析加密数据函数
因为加密只采用了异或运算,所以加密算法也是解密算法。
文件还原代码
#include “stdafx.h”
#include
BYTE *__cdecl unknown_libname_467(BYTE *a1, BYTE *a2)
{
BYTE *result; // [email protected]
char v3; // [email protected]
result = a1;
v3 = *a1;
*a1 = *a2;
*a2 = v3;
return result;
}
int __cdecl MakeKeyTable(int a1, signed int a2, int a3)
{
signed int v3; // [email protected]
int v4; // [email protected]
int result; // [email protected]
int v6; // [email protected]
BYTE *v7; // [email protected]
bool v8; // [email protected]
signed int v9; // [sp+4h] [bp-8h]@4
unsigned __int8 v10; // [sp+18h] [bp+Ch]@4
v3 = 0;
v4 = a3;
do
{
*(BYTE *)(v3 + a3) = v3;
++v3;
} while (v3 < 256);
result = a2;
*(BYTE *)(a3 + 256) = 0;
*(BYTE *)(a3 + 257) = 0;
if (a2 > 0)
{
v10 = 0;
v6 = 0;
v7 = (BYTE *)v4;
v9 = 256;
do
{
v6 = (unsigned __int8)(*(BYTE *)(v10 + a1) + v6 + *v7);
unknown_libname_467(v7++, (BYTE *)(v6 + v4));
result = v9 – 1;
v8 = v9– == 1;
v10 = (v10 + 1) % a2;
} while (!v8);
}
return result;
}
unsigned __int8 __cdecl Decrypt(int a1, int a2, int a3)
{
int v3; // [email protected]
int v4; // [email protected]
unsigned __int8 result; // [email protected]
unsigned __int8 v6; // [email protected]
unsigned __int8 v7; // [email protected]
unsigned __int8 v8; // [email protected]
BYTE *v9; // [email protected]
BYTE *v10; // [email protected]
unsigned __int8 v11; // [sp+8h] [bp-Ch]@3
unsigned __int8 v12; // [sp+20h] [bp+Ch]@1
unsigned __int8 v13; // [sp+20h] [bp+Ch]@3
v3 = a3;
v4 = 0;
result = *(BYTE *)(a3 + 256);
v6 = *(BYTE *)(a3 + 257);
v12 = *(BYTE *)(a3 + 256);
if (a2 <= 0)
{
*(BYTE *)(v3 + 256) = result;
*(BYTE *)(v3 + 257) = v6;
}
else
{
v7 = v12;
v8 = v6;
do
{
v13 = v7 + 1;
v7 = v13;
v9 = (BYTE *)(v13 + v3);
v11 = v8 + *v9;
v8 = v11;
v10 = (BYTE *)(v3 + v11);
unknown_libname_467(v9, v10);
*(BYTE *)(v4++ + a1) ^= *(BYTE *)(((*v9 + *v10) & 0xFF) + v3);
} while (v4 < a2);
result = v11;
*(BYTE *)(v3 + 256) = v13;
*(BYTE *)(v3 + 257) = v11;
}
return result;
}
int main()
{
//加密文件
HANDLE
hEntyrptFile = CreateFile(L”D:\\1.XiaoBa1″, GENERIC_READ |
GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, NULL);
DWORD dwFileSize = GetFileSize(hEntyrptFile, NULL);
PBYTE pFileBuffer = new BYTE[dwFileSize];
ZeroMemory(pFileBuffer,dwFileSize);
DWORD dwRead = 0;
ReadFile(hEntyrptFile, pFileBuffer, dwFileSize, &dwRead, NULL);
//CPU***
char cpuid[] = “0FABFBFF000306A9”;
//***长度
int length = 0x10;
BYTE KeyTable[257] = { 0 };
MakeKeyTable((int)cpuid, length, (int)KeyTable);
Decrypt((int)pFileBuffer, dwFileSize, (int)KeyTable);
HANDLE hDecryptFile = CreateFile(L”D:\\1.zip”,GENERIC_WRITE|GENERIC_READ,0,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
WriteFile(hDecryptFile, pFileBuffer, dwFileSize, &dwRead, NULL);
CloseHandle(hEntyrptFile);
CloseHandle(hDecryptFile);
delete pFileBuffer;
system(“pause”);
return 0;
}