這個病毒是壇友們提供的。看起來很嚴重,一探究竟(我已準備好送死的準備)
調試器:OllyDbg 小生jiack專用版
病毒樣本提供:http://www.52pojie.cn/thread-608309-1-1.html

一、肉眼分析
先看下感染情況(其實在樣本帖子里已經很清楚了)
首先該樣本解壓后只有一個文件。這個文件是整個病毒核心。
然后必然是雙擊該文件,會發現該文件在本文件夾創建了許多文件,但是并不是一下子創建的,是一個一個的,整個過程20秒左右
上圖所示便是該病毒雙擊后在本文件夾創建的文件狀況。可見是十分多的。
注意上圖的這個程序(右邊是左邊的快捷方式),這個程序是用來付款的。作者把這個程序放在了桌面、各個文件夾。

二、行為分析
行為分析當然是對主程序的分析。因為主程序創建了如此多的關鍵文件,故要分析它。
這里用取文件大小來判斷文件是否被修改
在系統的system32(關鍵系統位置)創建文件rsaenh.dll。
檢測該文件大小(就是剛剛創建的rsaenh.dll)
其次是修改系統reg內容(該部分以后再分析)
線程的處理部分。(線程應該是為了遍歷感染磁盤文件)
其次就是在本文件夾目錄上創建t.wnry
(就是我們在一開始看到的本文件夾的一堆內容中的其中一個)
然后調用系統函數對自身進行保護。
其次繼續創建文件c.wncy,也是在本文件目錄下。
然后調用內核函數zwqueryinformationprocess來獲取程序相關信息。
以此循環,直到在本目錄創建出所有文件以及遍歷感染磁盤文件
……
……
……
循環檢測反調試,并關閉調試器
(我調試器被關了)
那么行為分析已經大致清楚他干了什么,下面進行對支付端的分析。

三、字符串分析
這回是對支付端的分析。
這個是對于如何解鎖的相關說明。
這個是對于首付款的簡單判斷。

四、可能的嘗試
跟進這個函數來看一看。
該函數是收款的核心函數。我們可以在相應位置進行簡單的分析。
第一個箭頭指的是failed to check your pay,意思就是檢測你的支付失敗。
第二個箭頭指的是canguatulations,意思是祝賀。這里是不是成功呢?
在兩個關鍵的jnz中間下段來跟蹤。
發現是一個聯網檢測我們是否付款。(這就意味著麻煩了,因為是rsa2048加密)
此處改為jmp
此處為nop
然后提示支付檢測成功,現在開始解密。
(本人英語不怎么好)

五、總結
該程序用的是永恒之藍漏洞,使用微軟官方在3月8號發的4013389補丁打一個即可。
據我個人懷疑,這個程序應該是捆綁來傳播的,因為不可能是就他一個單個,那誰會去傻到點(雖然病毒樣本確實是單個)
關閉135,136,138,139,445端口
目前病毒已經有許多公司分析了,他們應該給出了方案。
祝大家快樂,好運!!
by 52pojie.cn cqr2287/cqr2003
|