Win32:OnLineGames-FVA[Crypt] 分析 - Black Space 黑杜科技

2016年6月20日 星期一

Win32:OnLineGames-FVA[Crypt] 分析


大家好 我是逆向分析人員 King,
此病毒是由我們團隊的人拿到給我去分析的。
以下是病毒分析結果 (Win32:OnLineGames-FVA[Crypt])
----------------------------
運行後操作相關
—————————————-
運行後刪除自身
磁盤主目錄下添加AutoRun.inf
雙擊盤符c 會執行文件26xjvg.exe
雙擊盤符d 會執行文件26xjvg.exe
右鍵點擊盤符c 菜單 open 執行 26xjvg.exe
右鍵點擊盤符d 菜單 open 執行 26xjvg.exe
利用全局消息鉤子注入指定文件到其他進程
%system%wowst0.dll
[Hook Module]%system%wowst0.dll
[Hook Type]0x00000002,0x00000007,0x00000004
通過修改註冊表禁用Explore的相關功能強制持續性隱藏文件
啟動主進程,注入代碼,修改EIP執行而且執行自己的代碼
隱藏自身到其他目錄
添加開機自啟動項 – %system%wowst.exe
下載文件 “http://www.163uyt.com/1tw/at1.rar” >> “%temp%at1.rar”
查找防毒軟體
ASHDISP.EXE
AVGRSX.EXE
CCSVCHST.EXE
EKRN.EXE
RAVMON.EXE
AVP.EXE
AVGNT.EXE
LIVESRV.EXE
VSTSKMGR.EXE
設置文件屬性
C:26xjvg.exe >> HIDE
C:26xjvg.exe >> HIDE >> SYSTEM
C:26xjvg.exe >> SYSTEM
%system%wowst.exe >> HIDE
%system%wowst.exe >> HIDE >> SYSTEM
%system%wowst.exe >> SYSTEM
%system%wowst0.dll >> HIDE
%system%wowst0.dll >> HIDE >> SYSTEM
%system%wowst0.dll >> SYSTEM
C:autorun.inf >> HIDE
C:autorun.inf >> HIDE >> SYSTEM
C:autorun.inf >> SYSTEM
D:26xjvg.exe >> HIDE
D:26xjvg.exe >> HIDE >> SYSTEM
D:26xjvg.exe >> SYSTEM
D:autorun.inf >> HIDE
D:autorun.inf >> HIDE >> SYSTEM
D:autorun.inf >> SYSTEM
檢查註冊表項是否存在
檢查位置 : HKEY_LOCAL_MACHINESOFTWAREESETESET [email protected] profileUrlSetsNode_00000000
關閉IE的Proxy 代理
———————————-
網路讀取相關
HTTP Request – GET http://www.163uyt.com/1tw/at1.rar
Open – http://www.163uyt.com
———————————-
註冊表操作相關
HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionExplorerAdvan…
[Hidden] = [0x00000002]
HKEY_CURRENT_USER\SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplo…
[NoDriveTypeAutoRun] = [0x00000091]
HKEY_CURRENT_USER\SOFTWAREMicrosoftWindowsCurrentVersionRun
[wowsos] = [%system%wowst.exe]
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdva…
[CheckedValue] = [0x00000000]
以下是 inlineHook函數分析結果

沒有留言:

張貼留言