2022-01-14病毒分析00
请注意,本文编写于 319 天前,最后修改于 204 天前,其中某些信息可能已经过时。

目录


一、病毒基本信息

  1. 9be5c1ebb8a7320f23cdeb8938d6ffb827b1fad5:样本文件。
  2. dll343.dll:释放的dll文件。
  3. 218411359.bat:清理脚本。
  4. Nskhelper2.sys:释放的驱动文件。
  5. autorun.inf:安装驱动。
  6. Nspass(0-5).sys:释放的驱动文件。
  7. appwinproc.dll:释放dll文件。

二、病毒行为概述

释放恶意dll,获取系统信息,映像劫持,创建并启动一系列恶意驱动。

三、病毒行为描述

  1. 具有反调试,在临时目录下释放“dll%d.dll”文件并加载。
  2. 停止Schedule,AppMgmt,srservice,W32Time,stisvc等服务。
  3. 加载dll%d.dll时判断当前进程是否为svchost,如果不是就在系统目录下释放Nskhelper2.sys驱动文件并启动NsDlRK250服务。随后创建svchost进程,svchost加载dll%d.dll文件。
  4. 创建并释放资源文件RES到驱动文件Nskhelper2.sys,创建启动服务NsDlRK250,遍历进程进行等驱动操作
  5. 如果检测加载dll%d.dll的进程为svchost,创建NSDownLoader26AVip20081206事件,创建一系列线程。
  6. 线程1加载驱动Nskhelper2.sys并启动NsDlRK250服务。
  7. 线程2映像劫持,修改默认调试器为svchost。
  8. 线程3获取mac、系统信息、系统版本等信息并下载文件到临时目录。
  9. 线程4下载文件并将文件映射进内存,然后创建进程运行下载的文件。
  10. 线程5创建.inf文件,将.inf文件和dll%d.dll文件复制到各个磁盘,dll%d.dll重命名为system.dll,并使用rundll32加载system.dll,参数为explore。
  11. 线程6在系统目录释放资源appwinproc.dll,并使用explorer.exe加载dll。
  12. 线程7修改host文件,屏蔽安全公司网站。
  13. 线程8系统目录下释放出5个驱动文件,并加载驱动。

四、病毒详细分析
样本文件为UPX带壳程序,首先需要使用UPX Unpacker工具脱壳。

4.1 主程序行为分析

脱完壳使用IDA pro加载

在各函数中间还调用了Sleep

  1. 恶意样本运行时会检测当前进程是否OllyDbg.exeOllyICE.exePeditor.exeLordPE.exeC32Asm.exeImportREC.exe加载调试运行,如果是,那么程序就会调用ExitProcess退出,否则继续运行,调用IsDebuggerPresent检测是否为调试器环境。

  1. 调用ControlService停止ScheduleAppMgmtsrserviceW32Timestisvc等服务。

  2. 在临时目录下创建dll%d.dll,写入资源数据RES,其中%dGetTickCount获取



  1. 临时目录中创建%d.bat文件自删除,%dGetTickCount获取。退出进程前执行.bat脚本删除释放的dll.bat文件

4.2 dll%d.dll行为分析

  1. 依然检测当前进程是否为调试环境,如果是调试环境就直接退出

  2. 获取当前进程已加载模块的文件的完整路径,通过循环获取文件名,并与svchost.exe进行比较

  3. 如果不一样会创建Nskhelper2.sys并释放资源文件RES到驱动文件Nskhelper2.sys,创建启动服务NsDlRK250,遍历进程进行等驱动操作。

    接着后台创建svchost进程,接着加载自身dll%d.dll

  1. 如果一样,就调用CreateThread创建线程,并在线程中创建事件NSDownLoader26AVip20081206,并创建多个线程。

线程1
线程1加载驱动Nskhelper2.sys并启动NsDlRK250服务,遍历进程

线程2
线程2映像劫持,修改DebuggerValuesvchost.exe

线程3
线程3获取主机信息,如mac,系统,系统版本等信息,并下载文件到临时目录,文件名为%s%d.txt

线程4
线程4下载文件并文件映射,接着创建线程在线程中运行下载的文件

线程5
创建autorun.inf文件dll%d.dll重命名为system.dll,使用rundll32加载system.dll,参数为explore

线程6
线程6在系统目录中创建appwinproc.dll并释放RES资源文件,接着使用explorer.exe加载dll

线程7
线程7修改host文件,屏蔽安全公司网站

线程8
线程8循环释放5个驱动文件,并加载


本文作者:Na1r

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!