1.病毒名称:1.exe
2.文件大小:327680 bytes
3.MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
4.SHA1: 863F5956863D793298D92610377B705F85FA42B5
5.CRC32: 1386DD7A
病毒行为:
复制自身、傀儡进程、加密指定类型的PE文件、修改注册表自启动、自动关闭任务管理工具、生成大量勒索信息文件在文件目录下、发送加密数据包,密钥
火绒剑、OD、IDA、MD5工具、Win7 Malware Defender
恶意行为分析,病毒特征,并查杀
如果分析有错误,谢谢大家帮我指正
用户重要信息被加密,占用系统资源.
大概流程
病毒启动时候会先生成一个傀儡进程,并把自身PE信息和环境信息复制过去,并结束自己,运行傀儡进程,傀儡进程会在指定目录复制原病毒文件,并指定一个随机名字,然后提升自我权限,启动这个文件,然后就正式开始加密指定的文件了
进程行为
网络行为
文件操作行为
首先病毒生成一个傀儡进程 往里写入PE信息和环境
然后傀儡进程在复制自身到指定目录下然后删除原程序,运行目录下程序再结束自己
SetFileAttributes 设置文件属性 为隐藏
ShellExecute 发送了一个命令
00127B6C 00127B7C L"C:\Windows\system32\cmd.exe"==&L"ā"
00127B70 00129B7C L"/c DEL C:\Users\15PB-W~1\Desktop\1.exe >> NUL"
删除了原文件
接下来就是正式开始执行感染文件了
自我提权
修改注册表
被设置过的注册表被隐藏成CMD
接下来是解密勒索信息
IDA下看解密函数
关闭重定向防止32位文件目录和64位文件目录的冲突
接下来就是等待线程返回了,因为在这些过程中创造了三个线程,而这个等待返回的就是主要的加密文件线程
我们一个个分析:
第1个线程 :结束任务管理器和一些其他查看工具的线程
第二个线程 循环定时打开病毒文件
IDA查看
第3个线程就是感染文件的线程 重点分析
首先是遍历文件的循环
下面是获得想要加密的文件文件类型
上半部分
下半部分
一共写入了多次到文件
下面是目录下生成PNG和TXT勒索信息函数分析
接下来就是用上面这个函数在桌面上生成勒索信息
然后向指定服务器发包
IDA函数分析
之前还有一节函数 是拼接要发送的数据包的
并且数据包也经过了运算加密
以上就是病毒的基本行为
3.1 提取病毒的特征,利用杀毒软件查杀
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1结束进程
删除系统目录下的母体文件
删除注册表启动信息清除病毒启动项
清理目录下的TXT PNG文件
病毒文件并没有使用加密算法来加密文件的
可以使用专杀工具来修复
[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014. [2] 戚利. Windows PE权威指南. 机械工业出版社. 2011. [2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.