這個病毒是壇友們提供的。看起來很嚴(yán)重,一探究竟(我已準(zhǔn)備好送死的準(zhǔn)備)
調(diào)試器:OllyDbg 小生jiack專用版
病毒樣本提供:http://www.52pojie.cn/thread-608309-1-1.html
一、肉眼分析
先看下感染情況(其實(shí)在樣本帖子里已經(jīng)很清楚了)
首先該樣本解壓后只有一個文件。這個文件是整個病毒核心。
然后必然是雙擊該文件,會發(fā)現(xiàn)該文件在本文件夾創(chuàng)建了許多文件,但是并不是一下子創(chuàng)建的,是一個一個的,整個過程20秒左右
上圖所示便是該病毒雙擊后在本文件夾創(chuàng)建的文件狀況。可見是十分多的。
注意上圖的這個程序(右邊是左邊的快捷方式),這個程序是用來付款的。作者把這個程序放在了桌面、各個文件夾。
二、行為分析
行為分析當(dāng)然是對主程序的分析。因?yàn)橹鞒绦騽?chuàng)建了如此多的關(guān)鍵文件,故要分析它。
這里用取文件大小來判斷文件是否被修改
在系統(tǒng)的system32(關(guān)鍵系統(tǒng)位置)創(chuàng)建文件rsaenh.dll。
檢測該文件大小(就是剛剛創(chuàng)建的rsaenh.dll)
其次是修改系統(tǒng)reg內(nèi)容(該部分以后再分析)
線程的處理部分。(線程應(yīng)該是為了遍歷感染磁盤文件)
其次就是在本文件夾目錄上創(chuàng)建t.wnry
(就是我們在一開始看到的本文件夾的一堆內(nèi)容中的其中一個)
然后調(diào)用系統(tǒng)函數(shù)對自身進(jìn)行保護(hù)。
其次繼續(xù)創(chuàng)建文件c.wncy,也是在本文件目錄下。
然后調(diào)用內(nèi)核函數(shù)zwqueryinformationprocess來獲取程序相關(guān)信息。
以此循環(huán),直到在本目錄創(chuàng)建出所有文件以及遍歷感染磁盤文件
……
……
……
循環(huán)檢測反調(diào)試,并關(guān)閉調(diào)試器
(我調(diào)試器被關(guān)了)
那么行為分析已經(jīng)大致清楚他干了什么,下面進(jìn)行對支付端的分析。
三、字符串分析
這回是對支付端的分析。
這個是對于如何解鎖的相關(guān)說明。
這個是對于首付款的簡單判斷。
四、可能的嘗試
跟進(jìn)這個函數(shù)來看一看。
該函數(shù)是收款的核心函數(shù)。我們可以在相應(yīng)位置進(jìn)行簡單的分析。
第一個箭頭指的是failed to check your pay,意思就是檢測你的支付失敗。
第二個箭頭指的是canguatulations,意思是祝賀。這里是不是成功呢?
在兩個關(guān)鍵的jnz中間下段來跟蹤。
發(fā)現(xiàn)是一個聯(lián)網(wǎng)檢測我們是否付款。(這就意味著麻煩了,因?yàn)槭莚sa2048加密)
此處改為jmp
此處為nop
然后提示支付檢測成功,現(xiàn)在開始解密。
(本人英語不怎么好)
五、總結(jié)
該程序用的是永恒之藍(lán)漏洞,使用微軟官方在3月8號發(fā)的4013389補(bǔ)丁打一個即可。
據(jù)我個人懷疑,這個程序應(yīng)該是捆綁來傳播的,因?yàn)椴豢赡苁蔷退粋單個,那誰會去傻到點(diǎn)(雖然病毒樣本確實(shí)是單個)
關(guān)閉135,136,138,139,445端口
目前病毒已經(jīng)有許多公司分析了,他們應(yīng)該給出了方案。
祝大家快樂,好運(yùn)!!
by 52pojie.cn cqr2287/cqr2003
| 
