分析报告

基本信息

样本类型：PE32
样本文件大小：15872(15.50 kB)
样本文件MD5 校验值：56b2c3810dba2e939a8bb9fa36d3cf96
样本文件SHA1 校验值：99ee31cd4b0d6a4b62779da36e0eeecdd80589fc
壳信息：ASPack(2.12-2.42)[-]
样本下载：https://wwi.lanzoup.com/iFR7x08idt8h 密码:virus【压缩包密码：infected】

简介

经过分析，该病毒为一个“下载器+注入器”，他会下载云端的5个文件(k1.rar, k2.rar, k3.rar, k4.rar, k5.rar 文件格式实际为可执行exe)，并且在下载完成后会将自身复制到符合条件的exe尾部

文件系统变化

程序会使用的临时文件夹：C:\Users\【用户名】\AppData\Local\Temp\

注册表变化

将要被创建的注册表键

1
2

HKU\S-1-5-21-1154830284-2183519305-1153629013-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus
HKU\S-1-5-21-1154830284-2183519305-1153629013-1000_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus

网络症状

从 http【:】//ddos【.】dnsnb8【.】net【:】799/cj/ 下载文件

病毒主体详细分析

当样本被运行后，会进行如下操作：

1. 检测当前的系统版本，当版本小于6时进行提权

2. 多线程下载远程服务器上的文件至本地Temp文件夹中并执行

一共有五个文件

3. 程序将自身读取到内存中，遍历全盘文件将自身加到符合条件的程序末尾

3.1 遍历文件时会有选择的跳过部分文件夹

标记信息来源于之前解密的一块内存

3.2 程序会对部分exe文件以及Temp目录中的rar进行操作

针对符合要求的rar文件，程序会对其解压并遍历内容做查找注入操作，完成后将其重新打包

使用的解压/压缩程序来自于从本机 C:\Program Files (x86)\WinRAR\ 路径下复制的Rar.exe

并且使用结束后会对其（Temp目录下的复制文件）进行删除

3.3 针对符合要求的exe文件，程序会对其进行更改注入本体

在其尾部插入程序本体

并更改文件头

对比发现对程序头做了以下操作：

NT头——文件头：
- 区块数目 NumberOfSections+1
NT头——可选头：
- 所有含有代码的区块的大小 SizeOfCode+0x4200
- 程序执行人口（RVA）0x8AFB–>0x22000
- 映像载入内存后的总尺寸 SizeOfImage + 0x5000
- 映像校验和 CheckSum 0x1D0E2–>0x0 ?
节区表
- 在节区表末尾新增一个节区信息

被感染的程序在执行时首先会在Temp目录下释放执行病毒文件，再去执行原始内容

4. 增加SOFTWARE\GTplus注册表项

对比程序运行前后的注册表项可以得知增加的注册表项以及内容是：

1
2

HKU\S-1-5-21-3004234692-1880326442-2713182905-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01
HKU\S-1-5-21-3004234692-1880326442-2713182905-1000_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01