用户
搜索
  • TA的每日心情

    5 天前
  • 签到天数: 104 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    5

    主题

    28

    帖子

    1567

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2017-6-5

    i春秋签约作者

    发表于 2017-12-29 18:35:12 226943

    前言

    继上次分析了一个mbr之后,这段时间一直没有碰到好玩的样本。现又经蛋总提拔,觉得这么长时间不发点什么不太好意思。正好空格给了我一个样本,这次就来分析分析。

    由于样本有点复杂(对我来说),所以这回准备分成系列来讲,大概年前能发一部分吧。
    PS:在这里,给大家先拜个早年了!

    小计

    本次分析的样本都在文后有链接,感兴趣的同学可以自行下载分析

    经过

    样本一拿到手,我就发现这个东西不简单呐...一个压缩包中文件夹层层嵌套,一看就是做大事的人!呸,

    分析

    第一层:


    1.png
    • 截图.pif,实际是个pe文件。和zx.cmd是同一个文件。>这里的图片截图是个诱导程序,用户在双击图片截图之后,程序会自动执行,并将原本准备好的诱导图片覆盖上来,用户第二次打开的才是真实的图片。

    第二层:


    2.png

    svhost.exe与上层的两个pe是同一个文件,通过读取config.ini执行下一层的程序。

    这里简单了解下svhost.exe这个程序。
    通过属性看其原始文件名为RunGameEx.exe
    通过分析发现这个程序会读取当前目录下的gamepatch目录里的config.ini文件。读取配置中的程序并执行,然后退出。
    (比较绕口,大家耐心理解下)
    也就是说,这个程序会读取 ./gamepatch/config.ini,这也是为什么第一层没有这个配置文件的原因。(汗!我一开始以为是读取程序目录下的配置文件呢,结果后来才发现是读取下一层的配置文件,这里要注意)

    这里会执行下层的程序:
    suchost.exe shellcopy "..\svhost.exe" "svhost.exe" yestoall noerrorui

    第三层:


    3.png
    • suchost.exe 实际为Nircmd,用来上层执行copy动作
    • uqdate.tmp 实际为rar压缩程序,被去掉了文件头。这里的bat脚本里面会生成一个Rar文件头,然后用copy命令与之合并成最后的rar压缩包。密码为p
    • updatej.tmp 实际为unrar程序,用来解压上面的压缩包
    • 图片截图.zp 实际的诱惑图片。用户点击第一层的图片截图.pif后,当执行到这一层时,bat脚本会将此图片覆盖到第一层,以此来迷惑用户。
    • updete.bat 执行的脚本,下面详细分析。

    4.png

    此脚本是混淆过的,直接用记事本是打不开的。这里我们用c32asm打开


    5.png

    可以看到前面是乱码,后面是脚本主体。手工删掉文件前面的内容,保留cls直到最后的内容,重新用记事本打开即可看到明文。


    6.png

    看到这么乱,大家大可不必担心,看前几行:


    7.png

    所以我们只要把下面相应的变量删除掉就好。
    最后的明文:


    8.png

    脚本一共做了这么几件事情:

    1. 将当前目录下的config.ini文件删除,将config.xml改为config.ini(目的未知)
    2. 将目录下的 图片截图.zp 覆盖到第一层目录,迷惑用户。
    3. 释放文件到temp目录:
      bug0.txt
      cfwd.dat
      zc.exe(实际为c:\windows\system32\rundll32.exe)
    4. 释放文件到c:\HTEMP0目录:
      updatej.tmp(实际为unrar命令行程序)
      uqdate.dat(这里释放的并不是原本的文件,而是原本文件加上Rar头组合成的压缩包。)
    5. 释放文件到APPDATA目录:
      Payers.ini(实际是gconfig.ini重命名)
    6. 解压uqdate.dat压缩包里的qiaoi.bat文件并执行
      这里qiaoi.bat这个脚本文件的加密方式和updete.bat是一样的,这里跳过。


    到这里,这个恶意样本的表层已经分析的差不多了,最后释放的qiaoi.bat和其加密压缩包其实才是这个恶意软体的核心,但由于篇幅有限,这里先卖个关子。

    总的来说,这几层表面调用基本全是批处理,可见作者对此理解の深。这也是这篇帖子主题的出处。
    批处理其实就好比是windows下的shell脚本,但是比shell功能要弱一些,我对批处理也不是很熟悉,希望对这个感兴趣的同学可以另行深入了解,互相交流。
    下一篇的分析才是重点,我还在继续研究,估计年前勉强能发吧,希望大家元旦快乐!
    {:4_95:}

    游客,如果您要查看本帖隐藏内容请回复





    本帖被以下淘专辑推荐:

    https://blog.scp500.com
    66666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666
    使用道具 举报 回复
    6666666666666666666666666666
    使用道具 举报 回复
    666666666666666666666666666
    使用道具 举报 回复
    23333333333333333333333333
    使用道具 举报 回复
    这个样本3年前就看到过
    使用道具 举报 回复
    66666666666666666
    使用道具 举报 回复
    突然给分公司答复
    使用道具 举报 回复
    66666666666666
    使用道具 举报 回复
    路过看看
    使用道具 举报 回复
    666666666666
    使用道具 举报 回复
    666666666666
    使用道具 举报 回复
    发表于 2018-1-7 10:34:53
    666666666666
    使用道具 举报 回复
    发表于 2018-1-8 09:48:06
    厉害了,,,
    使用道具 举报 回复
    a good post!!
    使用道具 举报 回复
    发表于 2018-1-29 20:29:25
    多谢楼主分享
    使用道具 举报 回复
    厉害了
    使用道具 举报 回复
    学习一波
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册