没有合适的资源?快使用搜索试试~ 我知道了~
1. 通过注册表获取 iexplorer.exe 程序的目录,并在该目录下查找验 2. 尝试在 C 盘的相应位置(共 7 个备选路径,详见后文)创建文件夹 3.
资源详情
资源评论
资源推荐
![](https://csdnimg.cn/release/download_crawler_static/86282840/bg1.jpg)
【DesktopLayer 样本】分析报告
一、概述
样本来源:同学电脑中毒后提取
本文档讲述关于 DesktopLayer.exe 样本的行为、清除方法、技术细节;
![](https://csdnimg.cn/release/download_crawler_static/86282840/bg2.jpg)
二、名词解释
挂钩(Hook):通过对源码的修改,达到更改原来代码执行流程,进而执行
一些原来代码不具有的行为,这种修改手段可称为“挂钩(Hook)”。
代码注入:通过在原来的进程内存空间中添加一些额外代码并设定一定的
触发条件,使得添加代码得以执行,最终实现让原来进程执行新添加的代
码,以达到执行一些原来程序所不具有的功能的目的。原来进程中新添加
的代码叫“注入代码”,而这种添加“注入代码”的行为可称为“代码注
入”。
![](https://csdnimg.cn/release/download_crawler_static/86282840/bg3.jpg)
三、相关文件
DesktopLayer.exe.v : 样本;
upDesktopLayer.exe.v : 脱壳后的样本;
DesktopLayer.exe.new.v:由样本释放到 C 盘新建文件夹的文件;
dmlconf.dat:样本在 iexplorer.exe 目录下创建的文件,用于写入系统时间信息
和网络连通时间差;
Hook ZwWriteVirtualMemroy Data.txt:API ZwWriteVirtualMemroy 被 Hook 前后
的函数地址机器码,以及 Hook 过程中的 15 字节堆空间数据。
感染 EXE 和 DLL 文件过程中的文件: (Exe_Dll 文件夹)
Exe_Sample.exe.v:一个满足感染条件且未被感染过的 exe 文件;
Exe_Sample_InFected.exe.v:被感染后的 exe 文件;
Exe_Sample_InFectedSrv.exe.v:被感染文件在运行时释放出来的文件;
Data2Exe_1.bin、Data2Exe_1.bin:感染时向 EXE 和 DLL 中写入的两段数据;
Data2ExeAsm.txt:被感染文件入口点代码行为分析文件;
感染 HTML 和 HTM 文件过程中的文件: (Html_Htm 文件夹)
Html_Sample.html.v:一个满足感染条件且未被感染过的 HTML 文件;
Html_Sample_InFected.html.v:被感染后的 HTML 文件;
Data2Html.bin:感染时向 HTML 文件中追加的数据;
感染可移动磁盘文件过程中的文件: (RemovableDisk 文件夹)
RECYCLER_1.rar:含有自动运行文件和写入的 exe 文件(RECYCLER 的二级文
件名和 EXE 文件名均具有随机性)。
以上文件中相关文件的 MD5 和 SHA1 值如下:
样本 DesktopLayer.exe.v
MD5: FF5E1F27193CE51EEC318714EF038BEF
SHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA6
释放的文件 DesktopLayer.exe.new.v、Exe_Sample_InFectedSrv.exe.v 和感染
可移动磁盘时写入的 exe 文件其实是同一个文件:
MD5: 240B869098AF035A4FD7968308C86EDD
SHA1: 0798717EEE86F30EBF8BD11F3C8F4C2B473BC724
向 HTML 和 HTM 文件中写入的数据 Data2Html.bin:
MD5: 36748DD7B6C9EFBF0A6371C307DC2D2C
SHA1: 1E3934254D07F67D54DFD5D69F86DDAC200BD39F
![](https://csdnimg.cn/release/download_crawler_static/86282840/bg4.jpg)
四、行为预览
样本名称:DesktopLayer.exe
样本类型:Win32.Ramnit(由 360 云查杀确定)
样本大小:55.0 KB(56320 字节)
传播方式:本地磁盘文件感染和可移动磁盘传播
样本具体行为:该样本在运行过程中分 3 个阶段,下面详细说明每个阶段的关
键行为。
Phase1:勘测本机环境,确保样本的关键行为能顺利执行:
1. 通过注册表获取 iexplorer.exe 程序的目录,并在该目录下查找验
证 iexplorer.exe 程序是否存在;
2. 尝试在 C 盘的相应位置(共 7 个备选路径,详见后文)创建文件夹
"Microsoft",并复制新样本到新创建的文件夹中, 其中复制到新文
件夹下的新样本内容即为手动脱壳后的 upDesktopLayer.exe.v 的内
容;
3. 启动新文件夹下的新样本程序。
Phase2:通过 Hook ZwWriteVirtualMemory 完成对 iexplorer.exe 的注入,
关键代码均在 iexplorer.exe 中。
1. 验证特定文件夹(Phase1 创建的文件夹)下是否存在样本文件;
2. 获取 ntdll.dll 的一些导出函数地址保存到全局变量中,便于后续
代码中直接调用;
3. Hook ZwWriteVirtualMemory
4. 调用 CreateProcessA 来启动 iexplorer.exe 进程,在该 API 内部
会调用 ZwWriteVirtualMemory 进而完成对 iexplorer.exe 的注
入;
Phase3: iexplorer.exe 的入口点被修改之后程序的原流程发生了变化,这使
得 iexplorer.exe 其实变成了一个执行注入代码的壳。注入代码的行为如下:
1. 填写内存 PE 的 IAT 并处理节数据:
2. 初始化
SOCKET
3. 获取系统磁盘信息、版本信息和本地语言环境信息,用于向远程
发送,并接收远程数据;
4. 创建 6 个线程,完成核心工作,关于 6 个线程的功能描述如下:
Thread1: 20017ACA 功能:
每隔 1 秒就打开注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
并读取 Userinit 的键值,然后检查样本文件目录
(c:\programfiles\microsoft\desktoplayer.exe) 是否在键值中,如果不在的话就将样本文件
目录追加到该键值中,以达到开机启动样本的目的。
![](https://csdnimg.cn/release/download_crawler_static/86282840/bg5.jpg)
Thread2: 20017626 功能:
间歇性的测试与 google.com 的 80 端口、bing.com 的 80 端口、yahoo.com 的 80
端口的连通性,只要有一个连通,就不再测试后面的网址并在全局变量 2001A23B 处保
存两次能够连通的时间差(秒单位)。
Thread3: 2001781F 功能:
每分钟向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中写入 16 字节的数据,
前 8 字节为系统时间,接着是 4 字节数据是两次连通特定网站的时间差, 最后 4 字
节数据始终为 0。
Thread4: 2001790C 功能:
每 10 分钟向 "fget-career.com 的 443 端口" 发送当前系统时间信息以及含有本机信
息的字符串,并接收 "fget-career.com" 发回的数据。
Thread5: 20016EA8 功能:
对 DRIVE_FIXED 类型的磁盘进行遍历感染,感染方式:
对 html 和 htm 文件的感染方式:先检查文件内容的最后 9 字节数据是不是
“"</SCRIPT>” 以此来判断该文件是否被感染过,如果没有被感染,则在文件末尾添加
数据,数据具体的内容可以本文档的相关文件中提取。
对 EXE 或 DLL 文件的感染方式:
1:查看该文件的导入表中是否有按名称导入 “LoadLibraryA” 和
"GetProcessAddress" 这两个函数,有的话就获取该函数在 IAT 项中的 RVA, 没有的话
不感染;
2:查看该文件节表后是否有一个节表大小的全
0 可用空间,如果有就利用该位
置添加一个新节(添加的新节名称为 ".rmnet"),否则不感染;
3:对 “LoadLibraryA” 和 "GetProcessAddress" 的函数地址进行重定位,方便
在注入代码中进行调用;
4:修改程序员入口点为新节地址,更改程序执行流程;
5:向源文件中写入两段数据,写入的数据见文件。
20016AA9 E8 DDFCFFFF CALL 2001678B 该调用是处理 exe 和 dll 文件的关键调用
2001633E E8 4A070000 CALL 20016A8D 该句是核心感染过程
Thread6: 20016EC2 功能:
每 10 秒钟遍历一次所有磁盘,当磁盘类型为可移动磁盘时,对该磁盘进行感染:
感染 DRIVE_REMOVABLE 磁盘的方式:首先判断该磁盘是否被感染过,如果已经被感
染过则不再感染,否者进行关键感染行为。
对是否已经感染的判断:
1:磁盘根目录存在 "autorun.inf" 文件;
2:"autorun.inf" 文件大小大于 3 字节;
3:"autorun.inf" 文件头 3 字节内容为 "RmN"
以上 3 条都满足时,表明该可移动磁盘已经被感染过。
对没有感染过的磁盘进行的感染行为:
剩余60页未读,继续阅读
![exe](https://img-home.csdnimg.cn/images/20210720083343.png)
![application/x-rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![7z](https://img-home.csdnimg.cn/images/20210720083312.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![txt](https://img-home.csdnimg.cn/images/20210720083642.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![csv](https://img-home.csdnimg.cn/images/20210720083646.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![txt](https://img-home.csdnimg.cn/images/20210720083642.png)
![exe](https://img-home.csdnimg.cn/images/20210720083343.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![avatar](https://profile-avatar.csdnimg.cn/default.jpg!1)
ShepherdYoung
- 粉丝: 35
- 资源: 337
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)
评论0