【PC样本分析】一款"骷髅"病毒的分析日常

之前分析的一个样本,今天整理了下,发出来与论坛的大神们交流下,样本是网上找的,如有不足之处还望大家指出,共同进步.

一．病毒概况
病毒名称：样本.exe
软件图标:
文件大小: 21504 字节 (21.00 KB)
编译时间: 2015-5-23 11:13:42
编译平台: Microsoft Visual C++ 6.0
MD5 值： 5b8bc92296c2fa60fecc6316ad73f1e2
SHA1 值： 44b95162f85b81e71e5f2e7abbc904a6339ce0aa
CRC32 ： d149f2bf
病毒行为: 1.拷贝自身到系统目录 2.添加服务自启动 3.自删除 4.建立指定套接字连接...

二．具体行为分析

PEID查壳:UPX

ESP秒脱后:Microsoft Visual C++ 6.0

启动后调用RegOpenKeyEx 检测服务是否已经被创建, 病毒主程序通过服务自启动执行.

根据检测的结果执行不同的操作

以下是情况一:不存在指定服务 判断是否处于系统目录

随机生成新文件名称

拷贝自身到系统目录

拷贝路径 , 以自启动方式创建服务

启动服务

添加服务描述

具体分析服务主函数中的病毒行为

实现病毒行为的服务主函数

创建互斥体,确保只运行一个实体

接下来这一层创建了 3 个线程来执行不同的功能


回调一: 保存常见主机登录账号密码 , 以备后面访问局域网主机

初始化套接字

获取主机名, 主机详细信息



拼接局域网主机 iP


遍历用户名 , 密码 ,ip 地址尝试连接局域网内的所以主机 连接成功后调用 Sub_402AD0 函数进行病毒传播


分析线程回调 2.3 获取系统当前日期 , 比较是否指定日期

发送数据 , 接收控制码

sub_4040DA 分析 : 连接服务器

以下是 ConnectServer 连接服务器函数的具体分析 通过网址获取 IP


TCP 连接服务器, 之后发送信息给服务器, 并接收控制码


获取系统信息


将收集到的系统信息发送给服务器


关于控制码 , 以下做简单分类

接下来看线程 4 的具体行为: 有了前面几个线程的铺垫 , 线程 4 显得很干脆 , 直接连接了服务器 , 但是对服务器的网址做了加密处理 . 进入回调后 , 首先连接服务器


在连网函数中获取加密字符串

调用 DecodeURL 解密字符串

解密字符表 :

解密算法 : 在解密字符表中查找每个字符的位置