【病毒分析】41f205e9db461e3f70fd588cc01bb35bfe11cff

zoukankan html css js c++ java

【病毒分析】41f205e9db461e3f70fd588cc01bb35bfe11cff

41f205e9db461e3f70fd588cc01bb35bfe11cff

样本初析：

|Kaspersky | Trojan-Downloader.Win32.Carder.q|

|ESET-NOD32 | Win32/Glupteba.AF|

$Lj 2E6682932F82626g... *fEäfi: 70230-2461904190-459160358-1000\ Softwa M icrosoft\Wi ndows\Cu r rentVer s ion\ Run\NvUpdService$

$Lj 2E6682932F82626g... Menu\$

14:41:02:934,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:0,1676,BA_exec_extratedfile,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\d83665e11921a3e0525e1d4d9e1d04f1.exe,,0x00000000 [操作成功完成]

14:41:29:828,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:3512,1676,BA_register_autorun,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9,type:'Common/Run' ,0x00000000 [操作成功完成]

14:41:29:859,2E6682932F826269B0F84A93AAB9E609.85A681D7, 1676:3512,1676, BA_register_autorun,C:\Users\lilwen\AppData\Local\Google\Update\gupdate.exe /app 2B42CDC8B1EDBFEC23AA442F8F7EF3D9, type:'Common/Run' ,0x00000000 [操作成功完成]

14:41:36:848,2E6682932F826269B0F84A93AAB9E609.85A681D7,1676:0, 1676,BA_exec_extratedfile,C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe,,0x00000000 [操作成功完成]

00405B66 获取临时文件路径创建临时文件获取系统目录删除文件该临时文件的文件名后面的数字是随机的

00403381 CALL 2E668293.00403208 如果路径下为空则创建目录

0040588C 获取临时文件路径生成新的临时文件

获取临时文件路径获取系统目录删除文件

$ggug3388 goug338R ggug338F ggug3396 ggug339B ggug339c goug33R1 goug33R6 goug33R8 goug33RF > 68 FBß3gggg FF15 48714gg 68 Bß91uggg E8 E127gggg E8 62FEFFFF 85cg 68 FF15 short 2E668293.ßß4ß33RR ebp call duord ptr 2E668293 . ebp <jmp . 2E668293 . goug32ß8 short 2E668293.ßß4ß3428 2E668293 . c 11 duord ptr .GetWindowsDirect BuFSize - Buffer - 2E668293 . GetWindowsDirectoryR StringToRdd - ConcatString - 1strcatR 2E668293 . ilwen\RppData\Loca1\Temp\nsc5F ers\l L DeleteFi1eR$

0KB

删除该文件

0kb

这个流程重复创建删除了三次

创建文件夹，文件夹为null，所以不出现新文件夹

创建目录google/update

生成了一个可执行文件

运行该可执行文件

关闭该程序

修改开机项

$61102333 61102334 61102335 61102336 61102337 61102338 61102339 C745 FF15 FC 207 gugg ecx eax edi mou . 1 duord cal ptr .RegCreateKeyExR> psecurity Access - KEY SET URLUE Options - REG OPTION NON UOLRTILE Class - Reserved - - "SoFtware\MicrosoFt\Windows\CurrentUersion\Run" HKEY CURRENT USER RegCreateKeyExR$

修改注册表信息

$Lj 2E6682932F82626g... *fEäfi: 70230-2461904190-459160358-1000\ Softwa M icrosoft\Wi ndows\Cu r rentVer s ion\ Run\NvUpdService$

关闭注册表

在路径下创建一个空文件夹

然后把调用SHFileOperationA函数来复制之前生成的d83665e11921a3e0525e1d4d9e1d04f1.exe到该目录下并被重命名为gupdate.exe

为gupdate.exe创建注册表

$ggug232 ggug2329 goug232R ggug2333 ggug2335 ggug2336 601162337 ggug2338 ggug2339 83C9 5 ß3F42ß 92 ecx ecx mou ecx , ecx eax edi mou . call dword ptr FCO FF15 2ß7gugg ptr ds : [ gx423F5ß] .RegCreateKeyExR> pDisposition - pHand1e = ggggggg2 psecurity Access - KEY SET URLUE Options - REG OPTION NON UOLRTILE Class - Reserved - - "SoFtware\MicrosoFt\Windows\CurrentUersion\Run" HKEY CURRENT USER RegCreateKeyExR$

设置注册表键值

关闭注册表

调用SHFileOperationA函数来复制之前生成的d83665e11921a3e0525e1d4d9e1d04f1.exe到C:\Users\lilwen\AppData\Local\Microsoft\Windows\目录下并被重命名为winupdate.exe

为winupdate.exe创建注册表

设置注册表键值

关闭注册表

$Lj 2E6682932F82626g... Menu\$

搜索C:\Users\lilwen\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe

调用MoveFileA函数来重命名程序

执行文件

关闭

找原件自删

继续搜索原有程序d83665e11921a3e0525e1d4d9e1d04f1.exe是否存在存在就再自删

检查2E6682932F826269B0F84A93AAB9E609.85A681D7是否存在，存在就自删

由于用OD已加载程序，所以删除失败，正常可以自删母体程序

后面的代码都是对原样本的操作，搜索目录、终止进程、关闭句柄，由于使用OD加载了所以无法对其操作

远控木马

查看全文

相关阅读:
Appium(一)：java环境、AndroidSDK环境
 SQL Server Merge语句的使用
 ASP.NET MVC下判断用户登录和授权的方法
 javascript的错误处理
 javascript的封装实例
 Javascript的封装
 ASP.NET MVC的请求生命周期
 Asp.Net页面生命周期
 SQL注入原理
 ASP.NET MVC：窗体身份验证及角色权限管理示例

原文地址：https://www.cnblogs.com/Nickyl07/p/15810870.html