sample.exe 病毒分析

0x0 病毒介绍

通过局域网传播的病毒，通过接受指令完成恶意行为，下载文件更新病毒。

 

0x1 概述
样本名：sample.exe

MD5：f3b51ce3878eb7a6b2c5f5ff5de0c7b5

壳或者编译信息：PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->Markus & Laszlo

分析环境及工具：winXp sp3、IDA6.8、x64Dbg、火绒剑、哈勃、PEid

0x2、相关文件
1. sample.exe：样本，主要行为。

0x3、行为预览：

1.    弱口令破解局域网主机，拷贝自身并且执行

2.      链接指定ip，上传主机信息。

3.      接收指令，完成下载，根据接收到参数打开ie，创建指定线程访问网页完成ddos攻击

 

0x4、报告正文：
1.通过查壳可以发现是upx壳，脱掉壳后继续分析。

2.创建互斥体如果是存在结束进程

3.     创建服务，设置服务状态

4.  来到这个程序中最重要的部分了

1)  枚举资源

2)  加载释放的资源

3)  循环创建线程

5.  在接下来会分别介绍3个线程和一个消息处理。

1)1号线程通过字典来破解当前局域网主机，并且拷贝到c/d/e/f盘，名字为g1fd.exe并执行。

2)2号线程会查看时间，如果大于设定的时间创建线程

         i. 来看下这个线程所做的事情创建套接字链接指定arwah.uy1433.com网站。

         ii. 接受数据，如果指令为0x10那么就下载文件。

          iii. 接受0x12号指令，释放互斥体，下载文件，结束服务，创建进程，结束当前进程。（猜测病毒的升级指令）

          iv.0x14号指令打开浏览器

        v.创建指定线程个数，链接指定地址（DDos攻击）

   3)3号线程和2号线程1一样只是将链接ip地址不同，经过x64dbg跟踪后解密的ip是：192.168.1.107：83

0x5、总结：

这个病毒是通过局域网传播的蠕虫病毒，可以通过查看互斥体.Net CLR查看是否被感染，样本的难度很小，脱壳后，通过ida即可分析全部流程。

样本流程: