九一人才网招聘网官方网站,wordpress文件管理插件,建站是什么东西,湖北营销型网站建设公司这是一个非常古老的文件夹病毒#xff0c;使用XP系统的文件夹图标#xff0c;采用VB语言开发#xff0c;使用了一种自定义的壳来保护#xff0c;会打开网址http://www.OpenClose.ir,通过软盘、U盘和共享目录进行传播#xff0c;会在U盘所有的目录下生成自身的副本#xf…这是一个非常古老的文件夹病毒使用XP系统的文件夹图标采用VB语言开发使用了一种自定义的壳来保护会打开网址http://www.OpenClose.ir,通过软盘、U盘和共享目录进行传播会在U盘所有的目录下生成自身的副本根据目录名来生成不同的文件名。有一定的对抗杀软的能力。
样本的基本信息
MD5: 7b4983962fe9d740d6ec5fb153a0525f
SHA1: 114d4cdfb3f0e73eabc449d0877f36a683defff4
SHA256: f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19样本使用xp系统的文件夹图标。使用了一种变形的壳进行保护。 # 脱壳过程
vb程序的入口点一般为一条push命令这里实际上压入的是一个指针指向的是VBHeader结构体然后就是call指令调用MSVBVM60.dll中的ThunRTMain。这两条指令的目的是调用ThunRTMain函数初始化各种变量。
我们首先找到MSVBVM60.dll中的ThunRTMain的地址下断点看它的返回地址。
用IDA打开系统内C:\WINDOWS\system32\msvbvm60.dll发现ThunRTMain的导出地址为
0x733935A4。 用OD将msng.exe的样本跑起来在733935A4处下断点。断下之后看栈中的返回地址如下图所示返回地址为00401A5A这个地址-10就是程序的入口点0x401a50。 重新用OD跑样本在0x401a50处下硬件执行断点F9继下之后使用Ollydump插件脱壳即可。 0012FFBC 00401A5A 返回到 1.00401A5A 来自 1.00401A4A
0012FFC0 00401AEC 1.00401AEC
0012FFC4 7C817077 返回到 kernel32.7C817077病毒行为
结合VB Decompiler Pro的结果使用IDA和od对病毒进行分析。
感染系统的过程
将自己拷贝到C:\windows\system32\msng.exe并在注册表表中添加开机启动项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msngC:\WINDOWS\system32\msng.exe。
将C:\WINDOWS\system32\Rundll32.exe拷贝为C:\WINDOWS\system32\rundII32.exe
将自身拷贝为C:\WINDOWS\system32\Rundll32.exe。
启动C:\WINDOWS\system32\Rundll32.exe fuckystart
隐藏文件后缀名设置注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt0。
传播方式
若当前进程名为rundll32参数为fuckystart的话读取注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Shares 遍历共享目录感染共享目录。
寻找窗口名为3.5 Floppy (A:)3.5 Floppy (B:)Copying...的窗口感染中对应的驱动器。
不断获取当前活动窗口的标题找到下面这样的窗口使用SendMessage(hWnd, WM_CLOSE, 0, 0)的方式来关闭窗口应该是为了对抗杀软。
*task*manager*
system configuration utility
*anti*
*kill*
*virus*
*worm*
*remover*遍历USB驱动器在每个目录下创建自身的副本文件名是根据目录名随机生成的如下所示。
目录名*mp3*会生成如下形式的文件
Ebi
Kamran Homan
Omid
Scooter
Britney Spears目录名*show*
Mansour
Black Cats
Andy
The Boys
Britney Spears目录*game*
New Game
War Craft
Mario
Super Snake
Chess Master目录*picture*
New Pictures
Angelina Jolie
Hot
Priceless
Funny目录名*music*
Soft
Rock
Blues
Classic
Jaz目录*video*
my videos
Private
Home
2007.04.30
hot目录名*document*
my docs
home work
Final
New Docs
Clips若没有匹配到上面的模式的话使用下面的文件名
Video
Clips
Documents
My Documents
New Folder
Angelina Jolie
WallPapers
MP3
Show
New
HOT
Fun
Games
Flash Games
Favorites使用系统默认浏览器打开 http://www.OpenClose.ir。目前该域名已经不能访问了。
在文件 C:\~0002ftd.tmp中保存病毒的起始目录然后将其删除。
IOC
hash
MD5: 7b4983962fe9d740d6ec5fb153a0525f
SHA1: 114d4cdfb3f0e73eabc449d0877f36a683defff4
SHA256: f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19file
C:\windows\system32\msng.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundII32.exe
C:\~0002ftd.tmpU盘
会在U盘第个目录下生成一个副本会根据当前目录名随机生成一个文件名如下所示当U盘中有以下文件时就要 小心了
*mp3*
Ebi
Kamran Homan
Omid
Scooter
Britney Spears*show*
Mansour
Black Cats
Andy
The Boys
Britney Spears*game*
New Game
War Craft
Mario
Super Snake
Chess Master*picture*
New Pictures
Angelina Jolie
Hot
Priceless
Funny*music*
Soft
Rock
Blues
Classic
Jaz*video*
my videos
Private
Home
2007.04.30
hot*document*
my docs
home work
Final
New Docs
ClipsVideo
Clips
Documents
My Documents
New Folder
Angelina Jolie
WallPapers
MP3
Show
New
HOT
Fun
Games
Flash Games
Favorites注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msngC:\WINDOWS\system32\msng.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt0总结
通过分析这个病毒对VB病毒的逆向有了一定的学习。
参考资料 [原创]VB6反编译详解一-软件逆向-看雪-安全社区|安全招聘|kanxue.com Visual Basic程序的逆向分析 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn VB快速逆向法-软件逆向-看雪-安全社区|安全招聘|kanxue.com VB常用API (notion.site) msng.exe的VB程序分析_openclose.ir-CSDN博客 小甲鱼 OllyDbg 教程系列 (七) VB 程序逆向分析_ollydbg vb rtcp-CSDN博客 Visual Basic 6.0_哔哩哔哩_bilibili 【精选】两 API 三步最简实现 VB6 输出到CMD控制台显示 (含获取输入)真输出至 CMD 窗口非 AllocConsole 模式_vb 控制台输出-CSDN博客 VB与API (office-cn.net) 小甲鱼 OllyDbg 教程系列 (七) VB 程序逆向分析_「已注销」的博客-CSDN博客Dir function (Visual Basic for Applications) | Microsoft Learn VB函数——逆向分析备查-CSDN博客 VB逆向函数详解2 - 完美视界 - 博客园 (cnblogs.com)
