这个病毒是坛友们提供的。看起来很严重,一探究竟(我已准备好送死的准备)
调试器:OllyDbg 小生jiack专用版
病毒样本提供:http://www.52pojie.cn/thread-608309-1-1.html
一、肉眼分析
先看下感染情况(其实在样本帖子里已经很清楚了)
首先该样本解压后只有一个文件。这个文件是整个病毒核心。
然后必然是双击该文件,会发现该文件在本文件夹创建了许多文件,但是并不是一下子创建的,是一个一个的,整个过程20秒左右
上图所示便是该病毒双击后在本文件夹创建的文件状况。可见是十分多的。
注意上图的这个程序(右边是左边的快捷方式),这个程序是用来付款的。作者把这个程序放在了桌面、各个文件夹。
二、行为分析
行为分析当然是对主程序的分析。因为主程序创建了如此多的关键文件,故要分析它。
这里用取文件大小来判断文件是否被修改
在系统的system32(关键系统位置)创建文件rsaenh.dll。
检测该文件大小(就是刚刚创建的rsaenh.dll)
其次是修改系统reg内容(该部分以后再分析)
线程的处理部分。(线程应该是为了遍历感染磁盘文件)
其次就是在本文件夹目录上创建t.wnry
(就是我们在一开始看到的本文件夹的一堆内容中的其中一个)
然后调用系统函数对自身进行保护。
其次继续创建文件c.wncy,也是在本文件目录下。
然后调用内核函数zwqueryinformationprocess来获取程序相关信息。
以此循环,直到在本目录创建出所有文件以及遍历感染磁盘文件
……
……
……
循环检测反调试,并关闭调试器
(我调试器被关了)
那么行为分析已经大致清楚他干了什么,下面进行对支付端的分析。
三、字符串分析
这回是对支付端的分析。
这个是对于如何解锁的相关说明。
这个是对于首付款的简单判断。
四、可能的尝试
跟进这个函数来看一看。
该函数是收款的核心函数。我们可以在相应位置进行简单的分析。
第一个箭头指的是failed to check your pay,意思就是检测你的支付失败。
第二个箭头指的是canguatulations,意思是祝贺。这里是不是成功呢?
在两个关键的jnz中间下段来跟踪。
发现是一个联网检测我们是否付款。(这就意味着麻烦了,因为是rsa2048加密)
此处改为jmp
此处为nop
然后提示支付检测成功,现在开始解密。
(本人英语不怎么好)
五、总结
该程序用的是永恒之蓝漏洞,使用微软官方在3月8号发的4013389补丁打一个即可。
据我个人怀疑,这个程序应该是捆绑来传播的,因为不可能是就他一个单个,那谁会去傻到点(虽然病毒样本确实是单个)
关闭135,136,138,139,445端口
目前病毒已经有许多公司分析了,他们应该给出了方案。
祝大家快乐,好运!!
by 52pojie.cn cqr2287/cqr2003
|