0x01 病毒行为分析
- 查壳: 无壳
-
用PE explorer查看导入dll:
查看导入dll -
用API Monitor查看导入dll:
image.png - 资源分析: 发现很多都出现错误
- 可发现启动项已被修改: image.png
-
发现该病毒会访问一个固定ip:
image.png45.76.81.110
的80端口: - 注册表多处被修改: 注册表值修改
0x10 病毒程序分析
- 用IDA直接分析该病毒并没有找到病毒感染特征: 无感染特征
- 用OD打开病毒文件,下dll载入断点分析程序内存块: 下断点, 中断于新DLL, 等程序解密完之后,就能看到真正的勒索程序
- 发现dll被加载后,多出几个内存区段,猜测那是加载dll解密后的病毒程序: 从memory map中可看到新增了一段数据, 打开看是程序文件头格式, 可确认是勒索程序, dump出来即可用IDA分析
- 获取根目录信息函数: 获取根目录卷信息函数
- 这里可知特殊的ID是根据C盘的卷标序列号和用户名生成的: image.png
- 进一步分析可看到被排除的文件目录: 排除加密的文件
- 待加密的文件格式: 待加密的文件格式
- 连接远程服务器的源码: 向远程服务器连接的源码
- 文件加密过程: 文件加密过程
网友评论