微信公众号:渊龙Sec安全团队
为国之安全而奋斗,为信息安全而发声!
如有问题或建议,请在公众号后台留言
如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们
前言
恶意样本分析报告(二)来啦哈哈~
最近利用周末分析了两个病毒样本,该两个病毒是同一个组织制作的,所以行为非常相似
其中第二个病毒是第一个病毒的加强版,出来的时候都是VT 0 报毒全免杀的,都运用了虚拟机检测机制,让我们来揭开他们的面纱
相信通过我的分析思路,能让各位师傅有所收获
样本1:较老的病毒样本
这个病毒是一个 DLL 病毒,是该组织常用的白加黑手法进行免杀
该病毒首先打开自己,进行虚拟检测,并且为后续注入做准备:
并且获取大小:
然后创建一个 notepad.exe 进程,为后续的注入做准备:
然后修改自身权限:
接着开始进程注入:
注入后,可以看见跳入的是一段 Shellcode:
接着会替换用户的 IE 浏览器的文件,然后创建一个管程,来传输数据:
样本2:较新的病毒样本
该病毒有虚拟机检测,包括检测 VM 的进程和获取网卡等:
接着该病毒会对系统的 dwm.exe 进行注入,注入自身后流程会发生改变,会创建一个线程,这个线程进行虚拟检测并且创建和目标服务器的管程,并且使用了反汇编技术:
并且这个线程在建立管程之前还会创建三个线程,这三个线程会对管程进行写数据:
可以看到这个病毒打开的管道和上一个病毒的管道名都是一样的
总结
-
对于病毒样本的分析,很多时候是要去多看多上手实践。
-
其实比拼的就是对Windows API的理解,以及有相应的耐心,需要长久的花时间去磨一个病毒样本文件,只要耐心的去看、去磨、去查,慢慢的就自己能看懂了。
-
在二进制的路上,越深入,成就感越大。
我是孤独的全家桶,我在渊龙Sec安全团队等你
微信公众号:渊龙Sec安全团队
欢迎关注我,一起学习,一起进步~
本篇文章为团队成员原创文章,请不要擅自盗取!
原文始发于微信公众号(渊龙Sec安全团队):某恶意样本分析报告(二)
