天台人满为患,不如来看下这个Ramnit蠕虫分析!-『病毒分析区』-破解-LCG-LSG|安卓破解|病毒分析|破解软件|www.52pojie.cn{"@context":"https://ziyuan.baidu.com/contexts/cambrian.jsonld","@id":"https://www.52pojie.cn/thread-757290-1-1.html","appid":"1576031629188970","title":"天台人满为患,不如来看下这个Ramnit蠕虫分析!","images":["http://attach.52pojie.cn/forum/201806/25/231130gs2dzvmubrvou27v.png[/img]官方微博违规会员处罚记录官方入门教学培训_New开启辅助访问【验证码异常^等待验证会员^冻结用户】【网络诊断修复工具】切换到窄版请登录后使用快捷导航没有帐号?注册[Register] 帐号自动登录找回密码密码登录注册[Register] 只需一步,快速开始安全验证#xe60c;请完成以下验证码快捷导航门户Portal网站www新帖论坛最新帖子一览无余!搜索由百度提供的站内搜索,优点搜索内容全而快。专辑Collection悬赏破解论坛帮助大家解决问题,共同进步,获取论坛币!排行榜Ranklist总版规爱盘在线破解工具包,实时提供最新逆向资源!  关注人的新帖技术新帖合集原创发布新贴脱壳破解新帖移动安全新帖病毒分析新帖软件调试新贴动画发布新帖邀请好友注册LCGLSGTools破解Logo破解桌面壁纸破解视频教程破解论坛精华集破解专用版Ollydbg处理举报贴处理福利贴处理水区贴办公区证据区论坛邮箱原创发布区精品软件区逆向资源区水漫金山区影视推荐区福利经验区脱壳破解区移动安全区病毒分析区编程语言区动画发布区安全工具区站点公告站点导航站点总版规申请专区招聘求职违规怎么办站点帮助站务处理搜索搜索热搜:新手脱壳内购ctf去广告破解版绿色版破解教程本版用户安全验证#xe60c;请完成以下验证码破解-LCG-LSG|安卓破解|病毒分析|破解软件|www.52pojie.cnraquo;网站rsaquo;【病毒分析】rsaquo;『病毒分析区』rsaquo;天台人满为患,不如来看下这个Ramnit蠕虫分析!12/2页下一页返回列表 查看:625|回复:17  [PC样本分析]天台人满为患,不如来看下这个Ramnit蠕虫分析![复制链接]JustPlayJustPlay当前离线好友记录日志相册分享阅读权限10听众收听  狗仔卡 电梯直达 楼主发表于2018-6-2523:15|只看该作者 |倒序浏览使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!.pcb{margin-right:0}分享到:QQ好友QQ空间微信新浪微博豆瓣网邮件分享今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置…心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手分析才发现并没有我想得那么简单...一、基本信息MD5ff5e1f27193ce51eec318714ef038bef文件大小55KB运行平台WidnowsSha256fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320拿到可疑文件第一时间扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,咱只需要坐在老板椅上,翘着二郎腿,喝着茶,唱着歌,没一会儿功夫分析报告就出来啦~
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
图:微步云沙箱报告截图简单看下报告的概要信息,有Ramnit标签。Ramnit蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。二、行为分析上手之前准备工作要做足,先梳理下流程:
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.1首先使用PEID查壳,发现具有UPX壳,UPX壳比较好脱,T友们可以自行脱壳。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.2过了一层壳之后,接着又是一段解密代码,一直走下去,最终又会回到0x00400000地址段中,你会发现,和源程序一样,是经过UPX加壳的。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.3依照同样的方法跳过UPX壳后,就进入到样本的主体程序。样本首先会查询系统默认的浏览器路径,如果查询失败就使用IE浏览器(后期用来进行进程注入),如果两个方法都失败,就会退出程序。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.4通过检查互斥体KyUffThOkYwRRtgPP是否已经存在来保证同一时间只有一个实例在运行。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.5进程名校验,样本会首先判断自己的进程名是否为DesktopLayer.exe,如果是的话,就退出此函数,如果不是,就会构造c:programfilesmicrosoft目录,然后将自身拷贝的此目录下,并命名为DesktopLayer.exe,然后启动此程序。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.6当自身进程名为DesktopLayer.exe时,将会对函数ZwWriteVirtualMemory进行InlineHook,回调函数如下:
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.7接着创建进程,此进程为开头获得的浏览器进程,在进程创建时会调用ZwWriteVirtualMemory函数,而这个函数已经被hook并跳转到sub_402A59,此函数的主要功能就是对启动的目标进程进行进程注入,并将一个PE文件写入目标进程,写入的PE文件原本是嵌入在自身文件中的。使用16进程程序可以发现,脱壳后的样本中嵌入的PE。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
2.8注入完之后会还原ZwWriteVirtualMemory的代码。三、详细分析经过这么多的操作,其实它的重点行为才刚刚开始。3.1使用OD附加到目标程序,经过几个函数的调用就会进入到嵌入的PE文件中,程序结构比较清晰。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
3.2创建不同的线程执行不同的功能,下面对其中几个比较重要的线程进行说明:Sub_10007ACA:将自身文件路径写入注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit,实现自启动。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
Sub_1000781F:在c:programfilesInternetExplorer下创建dmlconf.dat文件,并写入FILETIME结构体数据。Sub_10005906:此线程没有被运行,不过通过对代码的静态分析,发现它会监听4678端口,等待连接。收到连接后会接受命令并执行对应的操作。所以猜测此线程为一个后门,用来接收攻击者的命令.
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
Sub_1000749F:此函数中会创建两个线程。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
其中Sub_10006EA8用于感染exe,dll,html,htm文件,总体思路都是将自身文件写入到目标文件中,例如下图感染的htm文件。写入的是一个VB脚本,变量WriteData存储的是一个PE文件。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
受感染的PE文件会多处一个rmnet段。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
Sub_10006EC2:感染可移动介质,他会将自身写入到可移动介质,并在目录下创建autorun.ini文件,然后写入如下数据:[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe其中AbxOgufK.exe即为自身程序。分析过程中发现的域名fget-career.com,经查询得知为恶意域名。
天台人满为患,不如来看下这个 Ramnit 蠕虫分析!
四、总结深知自己分析能力有限,其实就是想抛块砖嘛(内心无比的鄙视自己...),样本分析是个技术活,也要耐得住寂寞,没有一款解闷的好工具怎么行?这次用的微步云沙箱提前为我多维度的检测样本,省力又省心,感兴趣的朋友可以多用用哈~P.S.天台上的T友们快下来吧!这么多恶意软件等着你们来分析呢!世界需要你们来守护~T友们可以到微步云沙箱查看分析报告,继续深度分析,报告地址如下:fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320超链接不行的话,就麻烦大家复制网址查看了:https://s.threatbook.cn/report/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/?env=win7_sp1_enx86_office2013utm_campaign=analysisutm_medium=tzutm_source=Adconlygio_link_id=bR7G85RG(管理员是不是调整一下编辑器)
| 
窥视卡
雷达卡
发表于 2018-6-26 08:23:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
渝公安备案 50011202501206