远控木马病毒分析

一、病毒简介

SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1

MD5:0902b9ff0eae8584921f70d12ae7b391

SHA1:f71b9183e035e7f0039961b0ac750010808ebb01

二、行为分析

同样在我们win7虚拟机中，使用火绒剑进行监控，分析行为特征：

首先是一个拷贝自身，而在后面也被行为检测标蓝；

其次就是大量的枚举进程；

这里启动了释放的文件，并设置了自启动；

结合这里，获取信息没有和服务端取得联系，IP已经失效，所以在火绒剑中也没有检测到网络链接。

三、逆向分析

拖进DIE查查壳，显示无壳：

看看导入表信息：

这里有检索主机信息之类的函数，还有网络链接之类的函数，基本可以确定大致行为，结合这里，在IDA中静态分析，进入winmain，F5看伪代码：

以上就是main函数主体，接下来对关键函数进行详细分析：

3.1、sub-406A30

进入函数内部，是俩个函数：

根据特征，很明显这里是rc4的解密，当然我是动态调试直接看他解密结果，解密一个服务名，一个IP地址，SuperProServer和127.0.0.1；

3.2、sub-4056C0

这里获取当前进程路径；

这里生成随机数并进行拼接，生成一个路径，创建一个文件并写入内容；

这里进行shell启动进程，可见这里是一个拷贝自身并启动的操作；

3.3、sub-406B50

进入此函数，内部有函数sub_407660，根据传参是rundll32.exe，进入此函数：

可以看到这里是进程遍历，返回进程信息，回到上一层：

这里是启动命令行杀掉rundll32.exe，返回主函数；

3.4、sub_4070E0

进入函数内部：

可以看到这里是设置病毒为服务并设置相关注册表版本类信息；

3.5、sub-407660

这里是循环三次，找病毒本体，通过函数40766寻找，找到后进行启动，进入函数内部：

这里是创建快照找相应进程的操作，而传入的参数就是Terms.exe;

3.6、sub_405480

这里是设置自启动；

3.7、sub_406B10

跟进此函数：

 3.7.1、sub_406290

进入406170：

这是一套令牌提权的组合拳，返回上一层；

这里是拿到句柄复制句柄；

 3.7.2、sub_4066C0

这边就开始和服务通信sub_401470：

sub_401660：

这里有一个开辟线程，进入回调函数发现，是和服务器链接，接受内容，并通过rc4解密，在自身开辟空间，进行写入操作，后面这块分析比较粗浅，但大体内容就是这些；