plugx病毒是什么?如何应对这种新型网络病毒威胁?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1403个文字,预计阅读时间需要6分钟。
一、病毒简要概述在深入分析之前,我们先对病毒进行简要的介绍。病毒是一种能够感染生物体,并利用宿主细胞的机制进行复制的微小生物体。病毒没有自己的细胞结构,通常由遗传物质(DNA或RNA)和蛋白质外壳组成。
二、病毒详细分析本次分析将更详细地探讨病毒的特性及其感染过程。
1. 病毒结构病毒主要由遗传物质和蛋白质外壳构成。遗传物质负责病毒的复制和指导宿主细胞合成病毒蛋白质。蛋白质外壳保护遗传物质,并帮助病毒附着和进入宿主细胞。
2. 病毒感染过程病毒感染通常包括以下几个步骤: a. 识别和附着:病毒通过其外壳上的特定蛋白质识别并附着到宿主细胞表面的受体上。 b. 侵入:病毒通过细胞膜进入宿主细胞内部。 c. 遗传物质释放:病毒将遗传物质注入宿主细胞内。 d. 遗传物质复制:病毒的遗传物质在宿主细胞内复制,指导合成新的病毒颗粒。 e. 病毒颗粒组装:新合成的病毒遗传物质和蛋白质外壳组装成新的病毒颗粒。 f. 病毒释放:病毒颗粒通过宿主细胞释放,感染其他细胞。
3. 病毒类型病毒根据其遗传物质和宿主范围可分为多种类型,如DNA病毒、RNA病毒、细菌病毒(噬菌体)等。
4. 病毒与疾病病毒是许多人类和动物疾病的病因,如流感、艾滋病、肝炎、新冠病毒等。
文件名:00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06文件类型:RAR文件类型(压缩格式)RAR archive data, v5文件大小:未知
一、病毒简述 之前分析了一下,分析的较为简单,这次又详细分析了一下。 文件名称 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 文件格式 RAR 文件类型(Magic) RAR archive data, v5 文件大小 157.74KB SHA256 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 SHA1 1c251974b2e6f110d96af5b23ad036954ba15e4e MD5 c1c9624b21f71e4565b941a37db3815a CRC32 59832D3D SSDEEP 3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha TLSH T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92 Tags rar,contains_pe
二、环境准备 系统版本
Win7x86
三、行为分析 打开火绒剑监控:
可以看到这里创建了文件夹,文件夹中创建了三个文件。最后有设置了注册表自启动,并退出当前进行,启动了拷贝入新目录的进程。
之后就是很多的网络链接。
这里又对文件进行了创建写入移动等操作,然后一直有网络链接的操作。
四、静态分析 1、病毒本体 病毒本体拖入Ida,打开start,F5
可以看到这里很纯洁,加载了wsc.dll,并调用run函数,我们继续调试wsc.dll中run函数。
2、wsc.dll 跟进run函数,到达后到最下面:
这里主要是一个LocalAlloc,申请了一段空间,然后进行for循环解密赋值,随后进入100015D0函数。
这是函数VirtualProtect函数,修改了内存属性,随后开始调用这段Shellcode。我们动态附加病毒,跟进run函数,记录LocalAlloc函数申请空间地址,等for循环结束之后,二进制复制拷出这段内存,在010Editor中进行保存为文件,拖到Ida中,可以发现是一个dll。
3.shellcode分析 跟进dllmain函数,到了这里:
通过进程参数,进行不同的函数功能,首先分析case1:
3.1、case1 进入sub_100090E0: 图1:
图2:
图3:
可以看到这里是对exe,dll,dat三个文件在系统目录中的一个拷贝过程。
之后在这里设置了程序自启动,结合病毒行为分析,这里的createProcess函数是启动了拷贝之后的exe,case1第二个函数是ExitProcess函数,这里很简单很简单,就到这里。
3.2、case2
第一个函数是创建互斥体,完事后面进行参数比较,首先看函数sub_10014580:
这里是设置了出册表network/version为1,返回去。 函数sub_100090E0和case1中一样,继续看函数sub_100153A0:
先看第一个函数:
看addtoken:
可以看到这里是一个提权操作,接下来返回去看第二个函数:
这里有四个函数,第一个是找到传入进程名,完事通过KillProcess函数杀掉。先看第一个函数:
退出来,返回上一层看第三个函数:
进入MyFileDeleandDir:
可以看到这里就是删除文件,删除目录等操作。返回上层,看第四个函数sub_100119A0:
删掉注册表自启动。 返回到case2,看函数sub_100019B0:
分析函数sub_100164D0:
简单的创建一个窗口。看函数sub_100165A0:
这里是获取消息并处理。DestroyWindow是销毁窗口。最后看79行MySub_0,里面是创建了一个线程,跟进去回调:
这里简单看了一下,都是网络连接之类的和获取本机信息的操作。
3.3、case3
这里是文件拷贝,查找窗口发送消息,打开了shell的操作。
本文共计1403个文字,预计阅读时间需要6分钟。
一、病毒简要概述在深入分析之前,我们先对病毒进行简要的介绍。病毒是一种能够感染生物体,并利用宿主细胞的机制进行复制的微小生物体。病毒没有自己的细胞结构,通常由遗传物质(DNA或RNA)和蛋白质外壳组成。
二、病毒详细分析本次分析将更详细地探讨病毒的特性及其感染过程。
1. 病毒结构病毒主要由遗传物质和蛋白质外壳构成。遗传物质负责病毒的复制和指导宿主细胞合成病毒蛋白质。蛋白质外壳保护遗传物质,并帮助病毒附着和进入宿主细胞。
2. 病毒感染过程病毒感染通常包括以下几个步骤: a. 识别和附着:病毒通过其外壳上的特定蛋白质识别并附着到宿主细胞表面的受体上。 b. 侵入:病毒通过细胞膜进入宿主细胞内部。 c. 遗传物质释放:病毒将遗传物质注入宿主细胞内。 d. 遗传物质复制:病毒的遗传物质在宿主细胞内复制,指导合成新的病毒颗粒。 e. 病毒颗粒组装:新合成的病毒遗传物质和蛋白质外壳组装成新的病毒颗粒。 f. 病毒释放:病毒颗粒通过宿主细胞释放,感染其他细胞。
3. 病毒类型病毒根据其遗传物质和宿主范围可分为多种类型,如DNA病毒、RNA病毒、细菌病毒(噬菌体)等。
4. 病毒与疾病病毒是许多人类和动物疾病的病因,如流感、艾滋病、肝炎、新冠病毒等。
文件名:00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06文件类型:RAR文件类型(压缩格式)RAR archive data, v5文件大小:未知
一、病毒简述 之前分析了一下,分析的较为简单,这次又详细分析了一下。 文件名称 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 文件格式 RAR 文件类型(Magic) RAR archive data, v5 文件大小 157.74KB SHA256 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 SHA1 1c251974b2e6f110d96af5b23ad036954ba15e4e MD5 c1c9624b21f71e4565b941a37db3815a CRC32 59832D3D SSDEEP 3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha TLSH T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92 Tags rar,contains_pe
二、环境准备 系统版本
Win7x86
三、行为分析 打开火绒剑监控:
可以看到这里创建了文件夹,文件夹中创建了三个文件。最后有设置了注册表自启动,并退出当前进行,启动了拷贝入新目录的进程。
之后就是很多的网络链接。
这里又对文件进行了创建写入移动等操作,然后一直有网络链接的操作。
四、静态分析 1、病毒本体 病毒本体拖入Ida,打开start,F5
可以看到这里很纯洁,加载了wsc.dll,并调用run函数,我们继续调试wsc.dll中run函数。
2、wsc.dll 跟进run函数,到达后到最下面:
这里主要是一个LocalAlloc,申请了一段空间,然后进行for循环解密赋值,随后进入100015D0函数。
这是函数VirtualProtect函数,修改了内存属性,随后开始调用这段Shellcode。我们动态附加病毒,跟进run函数,记录LocalAlloc函数申请空间地址,等for循环结束之后,二进制复制拷出这段内存,在010Editor中进行保存为文件,拖到Ida中,可以发现是一个dll。
3.shellcode分析 跟进dllmain函数,到了这里:
通过进程参数,进行不同的函数功能,首先分析case1:
3.1、case1 进入sub_100090E0: 图1:
图2:
图3:
可以看到这里是对exe,dll,dat三个文件在系统目录中的一个拷贝过程。
之后在这里设置了程序自启动,结合病毒行为分析,这里的createProcess函数是启动了拷贝之后的exe,case1第二个函数是ExitProcess函数,这里很简单很简单,就到这里。
3.2、case2
第一个函数是创建互斥体,完事后面进行参数比较,首先看函数sub_10014580:
这里是设置了出册表network/version为1,返回去。 函数sub_100090E0和case1中一样,继续看函数sub_100153A0:
先看第一个函数:
看addtoken:
可以看到这里是一个提权操作,接下来返回去看第二个函数:
这里有四个函数,第一个是找到传入进程名,完事通过KillProcess函数杀掉。先看第一个函数:
退出来,返回上一层看第三个函数:
进入MyFileDeleandDir:
可以看到这里就是删除文件,删除目录等操作。返回上层,看第四个函数sub_100119A0:
删掉注册表自启动。 返回到case2,看函数sub_100019B0:
分析函数sub_100164D0:
简单的创建一个窗口。看函数sub_100165A0:
这里是获取消息并处理。DestroyWindow是销毁窗口。最后看79行MySub_0,里面是创建了一个线程,跟进去回调:
这里简单看了一下,都是网络连接之类的和获取本机信息的操作。
3.3、case3
这里是文件拷贝,查找窗口发送消息,打开了shell的操作。