用户
搜索
  • TA的每日心情
    无聊
    昨天 10:25
  • 签到天数: 70 天

    连续签到: 2 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    5

    主题

    26

    帖子

    1082

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2017-6-5

    i春秋签约作者

    发表于 2017-12-29 18:35:12 134885

    前言

    继上次分析了一个mbr之后,这段时间一直没有碰到好玩的样本。现又经蛋总提拔,觉得这么长时间不发点什么不太好意思。正好空格给了我一个样本,这次就来分析分析。

    由于样本有点复杂(对我来说),所以这回准备分成系列来讲,大概年前能发一部分吧。
    PS:在这里,给大家先拜个早年了!

    小计

    本次分析的样本都在文后有链接,感兴趣的同学可以自行下载分析

    经过

    样本一拿到手,我就发现这个东西不简单呐...一个压缩包中文件夹层层嵌套,一看就是做大事的人!呸,

    分析

    第一层:


    1.png
    • 截图.pif,实际是个pe文件。和zx.cmd是同一个文件。>这里的图片截图是个诱导程序,用户在双击图片截图之后,程序会自动执行,并将原本准备好的诱导图片覆盖上来,用户第二次打开的才是真实的图片。

    第二层:


    2.png

    svhost.exe与上层的两个pe是同一个文件,通过读取config.ini执行下一层的程序。

    这里简单了解下svhost.exe这个程序。
    通过属性看其原始文件名为RunGameEx.exe
    通过分析发现这个程序会读取当前目录下的gamepatch目录里的config.ini文件。读取配置中的程序并执行,然后退出。
    (比较绕口,大家耐心理解下)
    也就是说,这个程序会读取 ./gamepatch/config.ini,这也是为什么第一层没有这个配置文件的原因。(汗!我一开始以为是读取程序目录下的配置文件呢,结果后来才发现是读取下一层的配置文件,这里要注意)

    这里会执行下层的程序:
    suchost.exe shellcopy "..\svhost.exe" "svhost.exe" yestoall noerrorui

    第三层:


    3.png
    • suchost.exe 实际为Nircmd,用来上层执行copy动作
    • uqdate.tmp 实际为rar压缩程序,被去掉了文件头。这里的bat脚本里面会生成一个Rar文件头,然后用copy命令与之合并成最后的rar压缩包。密码为p
    • updatej.tmp 实际为unrar程序,用来解压上面的压缩包
    • 图片截图.zp 实际的诱惑图片。用户点击第一层的图片截图.pif后,当执行到这一层时,bat脚本会将此图片覆盖到第一层,以此来迷惑用户。
    • updete.bat 执行的脚本,下面详细分析。

    4.png

    此脚本是混淆过的,直接用记事本是打不开的。这里我们用c32asm打开


    5.png

    可以看到前面是乱码,后面是脚本主体。手工删掉文件前面的内容,保留cls直到最后的内容,重新用记事本打开即可看到明文。


    6.png

    看到这么乱,大家大可不必担心,看前几行:


    7.png

    所以我们只要把下面相应的变量删除掉就好。
    最后的明文:


    8.png

    脚本一共做了这么几件事情:

    1. 将当前目录下的config.ini文件删除,将config.xml改为config.ini(目的未知)
    2. 将目录下的 图片截图.zp 覆盖到第一层目录,迷惑用户。
    3. 释放文件到temp目录:
      bug0.txt
      cfwd.dat
      zc.exe(实际为c:\windows\system32\rundll32.exe)
    4. 释放文件到c:\HTEMP0目录:
      updatej.tmp(实际为unrar命令行程序)
      uqdate.dat(这里释放的并不是原本的文件,而是原本文件加上Rar头组合成的压缩包。)
    5. 释放文件到APPDATA目录:
      Payers.ini(实际是gconfig.ini重命名)
    6. 解压uqdate.dat压缩包里的qiaoi.bat文件并执行
      这里qiaoi.bat这个脚本文件的加密方式和updete.bat是一样的,这里跳过。


    到这里,这个恶意样本的表层已经分析的差不多了,最后释放的qiaoi.bat和其加密压缩包其实才是这个恶意软体的核心,但由于篇幅有限,这里先卖个关子。

    总的来说,这几层表面调用基本全是批处理,可见作者对此理解の深。这也是这篇帖子主题的出处。
    批处理其实就好比是windows下的shell脚本,但是比shell功能要弱一些,我对批处理也不是很熟悉,希望对这个感兴趣的同学可以另行深入了解,互相交流。
    下一篇的分析才是重点,我还在继续研究,估计年前勉强能发吧,希望大家元旦快乐!
    {:4_95:}

    游客,如果您要查看本帖隐藏内容请回复





    本帖被以下淘专辑推荐:

    https://blog.scp500.com
    6666666666666666666666666666
    使用道具 举报 回复
    路过看看
    使用道具 举报 回复
    发表于 2018-1-6 04:09:32
    这个样本3年前就看到过
    使用道具 举报 回复
    666666666666
    使用道具 举报 回复
    666666666666
    使用道具 举报 回复
    发表于 2018-1-7 10:34:53
    666666666666
    使用道具 举报 回复
    发表于 2018-1-8 09:48:06
    厉害了,,,
    使用道具 举报 回复
    a good post!!
    使用道具 举报 回复
    发表于 2018-1-29 20:29:25
    多谢楼主分享
    使用道具 举报 回复
    发表于 2018-1-30 10:46:32
    突然给分公司答复
    使用道具 举报 回复
    厉害了
    使用道具 举报 回复
    发表于 2018-2-1 18:01:49
    23333333333333333333333333
    使用道具 举报 回复
    学习一波
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册