SP小编:
《鬼影7病毒详细分析系列》是SecPulse安全脉搏认证作者sev7n原创的3连载,前2篇戳这里:
1. 服务病毒首先判断自身文件名sfc_os.dll,然后设置全局变量通知外壳病毒已安装服务,然后根据系统判断病毒是否注入到svchost.exe ,winlogon.exe两个进程,如果是,就创建线程写管道通知外壳病毒自删除。
2. 之后病毒会创建多个线程完成任务:i)向自已所释放的驱动发送通知,结束nod32krn.exe进程;ii)感染MBR;iii) 下载其它病毒执行。下载地址为:tj.tea220.com 端口:8001.
病毒入口点,此病毒文件是DLL程序,该入口表示,当启动病毒所注入的进程时执行病毒功能。
病毒判断自身文件名是否是sfc_os.dll,如是通知外壳服务程序已安装成功。然后判断自已所注入的进程名是否是svchost.exe ,winlogon.exe,判断失败,结束运行。
病毒等待管首是否创建成功,如成功,病毒刚创建线程向管道写入数据,通知父病毒删除自身。
新线程向管道写入数据。
病毒循环判断Guntior驱动是否加载成功,等待一分钟之后还未加载成功,服务则自已释放驱动文件并加载。
病毒创建新线程,向底层驱动通知结束nod32krn.exe进程。
病毒同时会创建新线程监视并感染系统MBR数据。
病毒判断tj.tea220.com是否连接成功,连接成功,则创建线程执行下载功能。
病毒构造数据包,连接tj.tea220.com网址,并下载a.txt,并从中解密读取数据,该数据用来构造病毒下载执行的文件名,同时文件名也有随机字串。
下载地址:th.tea220.com
下载端口:1F41 =8001
病毒解密已读取的数据。
病毒构造新的URL地址。上图第一幅为加密的URL参数,而第二幅为加密后的URL能数。
病毒从以上构造的URL地址下载其它PE病毒,并用当前登陆用户身份创建进程。
3篇系列结束
鬼影7样本下载:http://pan.baidu.com/s/1o6qhIVS
更新:
http://pan.baidu.com/s/1qW6uwLe
或者
http://pan.baidu.com/s/1pJp128j (解压密码为:www.secpulse.com)
原创作者:sev7n
SP地址:http://www.secpulse.com/archives/673.html
本文作者:sev7n
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/673.html
必填 您当前尚未登录。 登录? 注册
必填(保密)这篇我竟然看懂了,感觉比前2篇容易理解;后面这么麻烦地读就为了隐藏下载其他PE病毒吗?
sev7n大牛的鬼影7病毒详细分析系列终于完结了 大牛可以开启实例讲逆向基础教程培训了 我先消化一下这3篇~~
牛逼 整点逆向是有用处
一系列给力的分析 赞一个 似乎少了个总结神马的
@神奇四侠团队 恩,下次多总结总结 😈
隔壁王叔叔发来贺帖,快叫王叔叔好!