http://blog.csdn.net/qq1084283172/article/details/50413426

一、样本信息

样本名称:rt55.exe

样本大小: 159288 字节

文件类型:EXE文件

病毒名称:Win32.Backdoor.Zegost

样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510

样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC

二、行为具体分析

1.获取当前运行模块的命令行参数,根据当前命令行参数是否包含字符串"NewUpdatExe"进行判断,决定下面提到的内存解密PE文件是调用导出函数NewUpdatExe还是导出函数xDllMain。

2.解密当前病毒进程内存地址为0x408070处,文件大小为0x17C00的被加密隐藏的PE文件。

3. 加载内存解密的PE格式的Dll文件,进行恶意病毒行为的操作;具体的加载过程后面会具体分析。

4.将解密内存PE文件的每个区节块的数据从文件映射到申请的内存空间中。

5. 对内存解密PE文件的重定位表Base RelocationTable进行重定位的修复。

具体的参考代码:http://blog.sina.com.cn/s/blog_6ac942220100l8c2.html

6. 获取解密内存PE文件的导入表中的INT表中的函数的调用地址填充IAT表。

7. 循环修改解密内存PE文件的各区节块数据段的内存数据属性。

8.运行的病毒进行将PE文件(dll文件)的加载已经基本完成了,因此这个被病毒进行内存加载的PE的动态库文件是有效可以执行的;因此以该内存PE动态库的OEP为函数指针执行恶意的代码。

9. 获取导出函数名称字符串"NewUpdatExe"或"xDllMain",用以获取解密内存PE文件的导出函数"NewUpdatExe"或"xDllMain"的调用地址。

遍历内存解密PE文件的导出表,获取需要的导出函数"NewUpdatExe"或"xDllMain"的调用地址。

10.根据步骤1中的传入的函数的名称"NewUpdatExe"或者"xDllMain",根据上面的步骤获取需要的导出函数"NewUpdatExe"或者"xDllMain"的地址,然后调用内存解密PE动态库文件的导出函数"NewUpdatExe"或者"xDllMain",执行恶意的代码;然后再次以内存解密PE文件的OEP为函数指针,执行内存PE文件的代码,执行恶意行为。

三、 病毒分析总结

总体来说,上面的详细的分析,基本可以使用一句话总结,那就是:宿主样本程序通过LoadPE的方式加载解密的PE动态库dll文件,然后有加载的PE动态库dll文件来执行具体恶意的病毒行为,从而达到逃过杀软的查杀的目的。关于Backdoor.Zegost木马病毒的具体行为也就是内存解密PE动态dll文件的恶意行为后面会详细的分析。

宿主样本程序加载PE动态库文件的步骤

1

在宿主程序内存中解密出加密的PE动态库dll文件

2

将内存解密的PE动态库dll文件的数据进行PE文件镜像的内存映射

3

对内存解密PE文件的重定位表Base RelocationTable进行重定位的修复

4

获取解密内存PE文件的导入表中的INT表中的函数的地址填充IAT表

5

修改解密内存PE文件的各个区节块数据段的内存数据属性

6

内存解密的PE动态库dll文件的加载完成,可以像正常dll一样执行自己的代码

:真的好烦,笔记本屏幕显示发白导致截图不清晰;本来想好好的记录下这个有意思的木马病毒,但是由于截图的效果不好,心情顿时就不好了。

Backdoor.Zegost木马病毒分析(一)相关推荐

  1. 一个感染型木马病毒分析(二)

    作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...

  2. 一个感染型木马病毒分析(一)

    一. 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4 ...

  3. 感染性的木马病毒分析之样本KWSUpreport.exe

    一.病毒样本简述 初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文 ...

  4. Win32.Rootkit.Lapka.Wozw 木马病毒分析

    By: DeathMemory QQ: 123951548 前言 近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究.大神请跳过. 病毒执行流程 整体流 ...

  5. 5-Web安全——php木马后门分析(入侵溯源)

    由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马. 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱 ...

  6. 一个简单的Android木马病毒的分析

    一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5 ...

  7. 病毒分析之“驱动人生”挖矿木马分析及其清除方案

    "驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...

  8. 瑞星2009:3大拦截2大防御功能主动遏制木马病毒

    12月16日,"瑞星全功能安全软件2009"正式发布,它基于瑞星"云安全"技术开发,实现了彻底的互联网化,是一款超越了传统"杀毒软件"的划时 ...

  9. 360天擎默认卸载密码_装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广...

    [快讯] 近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除.火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统 ...

  10. WannaCry勒索病毒分析过程**中**

    WannaCry勒索病毒分析 中 为了分析WannaCry.exe有着什么样的行为,以及它是如何释放WannaCry_PE.exe程序的,在IDA中打开WannaCry.exe 我们可以发现它的头是W ...

最新文章

  1. 公众号怎么设置滑动文字_上善.小知——(1)公众号白名单怎么设置?
  2. Windows CE 6.0 安装顺序
  3. 【Spring实战】注入非Spring Bean对象
  4. Ubuntu 使用root 帐号开启 SSH 登录
  5. java象棋人机代码_中国象棋人机对弈Java版源码
  6. Storm教程1理论介绍
  7. java5的递归算法_java递归算法 java面试题(5)
  8. 卸载idea2020删除以前的配置_推荐一款只有5M大小的绿色良心的卸载工具!
  9. redis实现轮询算法_Dcron:基于redis与一致性哈希算法的分布式定时任务库
  10. 企业邮箱和邮箱域名是什么意思?它们有什么区别?
  11. 一、音频基础知识 - 语音的基本特征
  12. 从 API、UI、结构到商业产品设计精髓
  13. 我的Jdon安装第三步出错解决
  14. php如何把文字加粗,HTML中如何将字体加粗
  15. python实现K-means多维数据聚类代码
  16. 特斯拉第二季度电动汽车销量下降近 18%
  17. Echarts角锥柱形图
  18. 虽然我不是做游戏的,闲的没事,emm,写了个扫雷小游戏(Android)
  19. 微信企业邮箱,手机邮箱格式地址怎么写?
  20. 实现简易版德州扑克|学习麻瓜编程以项目为导向入门前端 HTML+CSS+JS

热门文章

  1. [caffe] Long-term Recurrent Convolutional Networks
  2. MySQL(InnoDB剖析):08---InnoDB关键特性(插入缓冲(Insert Buffer)、两次写(doublewrite)、自适应哈希索引(AHI)、异步IO(AIO)、刷新邻接页)
  3. 五人合伙最佳股份分配_五个人合伙,股份如何划分才合理?
  4. Flash停更!「偷菜」的快乐还记得吗?
  5. IPD解读--华为500强的研发第一名,除了钱还有IPD
  6. Nlite后期处理技术小结(第三次更新...全文完)(by bluewind)
  7. 大数据征信是个人信用风险管理的必然趋势
  8. java聊天室登录页面_做好的Java聊天室怎么加登录功能,代码如下
  9. html响应式布局手机屏幕导航条,美图响应式布局导航条效果
  10. Linux安全审计之audit安装与使用