Backdoor.Zegost木马病毒分析(一)
http://blog.csdn.net/qq1084283172/article/details/50413426
一、样本信息
样本名称:rt55.exe
样本大小: 159288 字节
文件类型:EXE文件
病毒名称:Win32.Backdoor.Zegost
样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510
样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC
二、行为具体分析
1.获取当前运行模块的命令行参数,根据当前命令行参数是否包含字符串"NewUpdatExe"进行判断,决定下面提到的内存解密PE文件是调用导出函数NewUpdatExe还是导出函数xDllMain。
2.解密当前病毒进程内存地址为0x408070处,文件大小为0x17C00的被加密隐藏的PE文件。
3. 加载内存解密的PE格式的Dll文件,进行恶意病毒行为的操作;具体的加载过程后面会具体分析。
4.将解密内存PE文件的每个区节块的数据从文件映射到申请的内存空间中。
5. 对内存解密PE文件的重定位表Base RelocationTable进行重定位的修复。
具体的参考代码:http://blog.sina.com.cn/s/blog_6ac942220100l8c2.html
6. 获取解密内存PE文件的导入表中的INT表中的函数的调用地址填充IAT表。
7. 循环修改解密内存PE文件的各区节块数据段的内存数据属性。
8.运行的病毒进行将PE文件(dll文件)的加载已经基本完成了,因此这个被病毒进行内存加载的PE的动态库文件是有效可以执行的;因此以该内存PE动态库的OEP为函数指针执行恶意的代码。
9. 获取导出函数名称字符串"NewUpdatExe"或"xDllMain",用以获取解密内存PE文件的导出函数"NewUpdatExe"或"xDllMain"的调用地址。
遍历内存解密PE文件的导出表,获取需要的导出函数"NewUpdatExe"或"xDllMain"的调用地址。
10.根据步骤1中的传入的函数的名称"NewUpdatExe"或者"xDllMain",根据上面的步骤获取需要的导出函数"NewUpdatExe"或者"xDllMain"的地址,然后调用内存解密PE动态库文件的导出函数"NewUpdatExe"或者"xDllMain",执行恶意的代码;然后再次以内存解密PE文件的OEP为函数指针,执行内存PE文件的代码,执行恶意行为。
三、 病毒分析总结
总体来说,上面的详细的分析,基本可以使用一句话总结,那就是:宿主样本程序通过LoadPE的方式加载解密的PE动态库dll文件,然后有加载的PE动态库dll文件来执行具体恶意的病毒行为,从而达到逃过杀软的查杀的目的。关于Backdoor.Zegost木马病毒的具体行为也就是内存解密PE动态dll文件的恶意行为后面会详细的分析。
宿主样本程序加载PE动态库文件的步骤 |
|
1 |
在宿主程序内存中解密出加密的PE动态库dll文件 |
2 |
将内存解密的PE动态库dll文件的数据进行PE文件镜像的内存映射 |
3 |
对内存解密PE文件的重定位表Base RelocationTable进行重定位的修复 |
4 |
获取解密内存PE文件的导入表中的INT表中的函数的地址填充IAT表 |
5 |
修改解密内存PE文件的各个区节块数据段的内存数据属性 |
6 |
内存解密的PE动态库dll文件的加载完成,可以像正常dll一样执行自己的代码 |
注:真的好烦,笔记本屏幕显示发白导致截图不清晰;本来想好好的记录下这个有意思的木马病毒,但是由于截图的效果不好,心情顿时就不好了。
Backdoor.Zegost木马病毒分析(一)相关推荐
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- 一个感染型木马病毒分析(一)
一. 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4 ...
- 感染性的木马病毒分析之样本KWSUpreport.exe
一.病毒样本简述 初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文 ...
- Win32.Rootkit.Lapka.Wozw 木马病毒分析
By: DeathMemory QQ: 123951548 前言 近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究.大神请跳过. 病毒执行流程 整体流 ...
- 5-Web安全——php木马后门分析(入侵溯源)
由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马. 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱 ...
- 一个简单的Android木马病毒的分析
一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5 ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
- 瑞星2009:3大拦截2大防御功能主动遏制木马病毒
12月16日,"瑞星全功能安全软件2009"正式发布,它基于瑞星"云安全"技术开发,实现了彻底的互联网化,是一款超越了传统"杀毒软件"的划时 ...
- 360天擎默认卸载密码_装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广...
[快讯] 近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除.火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统 ...
- WannaCry勒索病毒分析过程**中**
WannaCry勒索病毒分析 中 为了分析WannaCry.exe有着什么样的行为,以及它是如何释放WannaCry_PE.exe程序的,在IDA中打开WannaCry.exe 我们可以发现它的头是W ...
最新文章
- 公众号怎么设置滑动文字_上善.小知——(1)公众号白名单怎么设置?
- Windows CE 6.0 安装顺序
- 【Spring实战】注入非Spring Bean对象
- Ubuntu 使用root 帐号开启 SSH 登录
- java象棋人机代码_中国象棋人机对弈Java版源码
- Storm教程1理论介绍
- java5的递归算法_java递归算法 java面试题(5)
- 卸载idea2020删除以前的配置_推荐一款只有5M大小的绿色良心的卸载工具!
- redis实现轮询算法_Dcron:基于redis与一致性哈希算法的分布式定时任务库
- 企业邮箱和邮箱域名是什么意思?它们有什么区别?
- 一、音频基础知识 - 语音的基本特征
- 从 API、UI、结构到商业产品设计精髓
- 我的Jdon安装第三步出错解决
- php如何把文字加粗,HTML中如何将字体加粗
- python实现K-means多维数据聚类代码
- 特斯拉第二季度电动汽车销量下降近 18%
- Echarts角锥柱形图
- 虽然我不是做游戏的,闲的没事,emm,写了个扫雷小游戏(Android)
- 微信企业邮箱,手机邮箱格式地址怎么写?
- 实现简易版德州扑克|学习麻瓜编程以项目为导向入门前端 HTML+CSS+JS
热门文章
- [caffe] Long-term Recurrent Convolutional Networks
- MySQL(InnoDB剖析):08---InnoDB关键特性(插入缓冲(Insert Buffer)、两次写(doublewrite)、自适应哈希索引(AHI)、异步IO(AIO)、刷新邻接页)
- 五人合伙最佳股份分配_五个人合伙,股份如何划分才合理?
- Flash停更!「偷菜」的快乐还记得吗?
- IPD解读--华为500强的研发第一名,除了钱还有IPD
- Nlite后期处理技术小结(第三次更新...全文完)(by bluewind)
- 大数据征信是个人信用风险管理的必然趋势
- java聊天室登录页面_做好的Java聊天室怎么加登录功能,代码如下
- html响应式布局手机屏幕导航条,美图响应式布局导航条效果
- Linux安全审计之audit安装与使用