骷髅病毒分析报告

1. 基本信息：        

   • 报告更新日期：2018-11-3

   • 样本类型：远控后门木马
   • 样本大小：21KB
   • 样本MD5：5B8BC92296C2FA60FECC6316AD73F1E2
   • 样本SHA1：44B95162F85B81E71E5F2E7ABBC904A6339CE0AA
   • 壳信息：UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
   • 可能受到威胁的系统：Windows系列
2. 简介：
   • 复制自身到系统目录并假装成服务程序运行，并经过局域网共享感染其余主机，同时与远程服务器进行通讯，将当前系统信息上次、获取指令以及更新程序
3. 被感染系统及网络症状：
   • 系统中存在一个名称为“456876”，描述为“456468465”的自启动运行服务，服务的执行路径在系统目录，且名字为6字母组成
   • 同时系统会访问"www.gassxxx.com"和“aa.re67das.com”
4. 注册表变化：
   • HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services中建立一个名为“15654656”的子键项，具体键值以下
5. 详细分析：
   • 主体功能：
   • 安装service功能：
   • service main主要功能：
     • 局域网传播部分：在copy_to_share2()中，用传进去的用户名和密码进行登陆局域网目标主机共享目录，若是成功登陆即复制当前文件到目标主机。
     • 远控部分：远控有三个线程在执行，他们的主要功能都大同小异，只是通讯的目标地址不同而已，如下是它们的主要程序。接下来针对控制码，进行相应的操做，具体操做以下。
     • 具体控制码分类见下图：
     • 解密部分：此处须要解密字符串才能得出目标网址，经过OD直接运行获得解密后的网址为“www.gassxxx.com:1988”。具体算法，后续分析...
   • 参考：https://www.52pojie.cn/forum.php?mod=viewthread&tid=593403&extra=page%3D1%26filter%3Dtypeid%26typeid%3D62&page=1  https://www.52pojie.cn/forum.php?mod=viewthread&tid=593454&page=1&extra=#pid15594667 https://s.threatbook.cn/report/file/5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5/?sign=history&env=win7_sp1_enx86_office2007