2022-01-17病毒分析00
请注意,本文编写于 316 天前,最后修改于 204 天前,其中某些信息可能已经过时。

目录


一、病毒基本信息

  1. 5ff9a8ed9d56327aac1029b2958b6c8bb95546ec:样本;
  2. kapsoiou.jpg:在系统目录下创建的文件。
  3. woiukjk.dll:在Windows目录下释放的文件。
  4. psapi.dll:safeboxTray.exe所在目录下释放的文件。
  5. 6001a3.dll:在临时目录下释放的文件。

二、病毒行为概述

释放可疑文件、枚举进程或线程、关闭360safe、操作敏感注册表、加载可疑dll、发起http请求、提权。

三、病毒行为描述

1.系统目录下创建kapsoiou.jpg文件。
2.遍历进程判断360以及其他相关进程是否存在,关闭360safe相关服务及重置相关注册表,使用rundll32.exe加载woiukjk.dll。
3.创建互斥锁,提权并启动服务Kisstusb。
4.使用URLDownLoadToFile从指定网站http://www.fengtianc.cn/ok.txt下载文件至本地。

四、样本详细分析

样本文件为UPX带壳程序,首先需要使用UPX Unpacker工具脱壳。

1.首先会获取系统目录,并在系统目录中创建kapsoiou.jpg文件,解密0x0040BEB0处数据并写入jpg文件中。

数据解密函数内部:

2.文件创建后进入sub_4129F0函数,解密4个字符串

3.解密完字符串开始遍历进程,判断是否有safeboxTray.exe进程,如果有就获取进程句柄,并根据句柄获取文件所在目录。

4.接着在该目录下创建psapi.dll文件,解密0x0040110处数据,并写入该dll文件中。

函数内部:

5.dll文件创建完成后,执行safeboxTray.exe程序并等待进程结束,然后覆盖360注册表,接着删除psapi.dll文件,最后遍历进程判断safeboxTray和360Tray进程是否存在,如果存在则杀死进程并修改标志位byte_413748为True

sub_412840:

sub_4125D0:

sub_412950:

sub_4126F0:

6.如果遍历进程safeboxTray.exe不存在,则再次检测safeboxTray.exe 或 360Tray.exe是否存在,存在则重置360注册表项的值。

7.继续解密字符串,经过解密发现是进程名,解密完的进程名会再次在遍历进程并比较,如果存在则弹窗并关闭。

8.使用rundll32.exe加载woiukjk.dll,命令行参数为EnumPageFile,随后再次检测360进程。

9.设置文件属性,创建互斥锁

10.提权

11.启动kisstusb服务,删除kapsoiou.jpg文件,清理注册表。

12.获取临时目录及TickCount作为.dll文件的文件名,并解密0x004111B0处数据并写入

加载urlmon.dll获取URLDownloadToFile,访问网站并下载http://fengtianc.cn/ok.txt

本文作者:Na1r

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!