聚合Vip网络社区 集合 HK共享吧 合购VIP等精品教程

 找回密码
 立即注册

QQ登录

只需一步,快速开始

关闭
聚合Vip社区
欢迎QQ或来电咨询
工作时间:周一至周五
AM9:00-PM22:00
淘宝店铺 淘宝皇冠店铺
论坛邀请码
查看: 4182|回复: 399

[病毒分析区] steup_H164_1恶意软件分析报告——动态分析

  [复制链接]

1万

主题

15

听众

2万

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    郁闷
    2014-12-12 09:43
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-5-7 17:34:43 |显示全部楼层

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    立即注册 已有账号?点击登录 或者 用QQ帐号登录

    x
    动态分析工具进行分析

    现在主要使用一下几个工具对目标文件进行动态监测netcat、regshot、apateDNS、process explorer。
    首先打开以上各种工机具,做好监测准备。做好系统快照、Regshot进行摄取1,apateDNS开始服务。
    先将虚拟机不联网则打开运行。最先得到的结果是安装了“点滴天气”一款软件,还显弹出一个对话框“无法连接服务器”,证明静态分析是该程序是需要连接互联网,或许某个服务器的数据。如图4所示:

    差点忽略了一点,“点滴天气”它的默认播报地址是“宁波”,根据我的情报分析经验这款.exe文件的制造地应该是在宁波,不然就是“点滴天气”这款软件的服务制造商是宁波的。

    现在开始查看regshot里面的有价值东西
    增加6个键
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dayweather_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dayweather_RASMANCS
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\steup_H164_1_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\steup_H164_1_RASMANCS
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_PROCEXP152\0000\Control
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCEXP152\0000\Control

    HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows
    NT\CurrentVersion\Perflib\CurrentLanguage\Counter:

    再查看process explorer里面的进程
    多出dayweather.exe在运行

    看一下ApateDNS捕获的的连接请求


    IAD中找到几个网站地址:(抛开IDA汇编指令解析,先讲基础)

    1.  http://yyfm.tanjiemeng.com而随其后的是一个路径,
    LOCAL_APPDATA}\\TaoTaoSou\\TTK\\TaoTaoSou
    首先用浏览器打开这个域名,结果自动下载一个未知的setup.exe程序;所以上面的路径应该会是这个sutup.exe安装地址。将要等待进一步确认。

    2.  http://pps.tanjiemeng.com,下载 爱奇艺浏览器安装程序地址
    D:\\IQIYI Video\\LStyle\\QyClient.exe ,存放地址
    {PROGRAM_FILES}\\IQIYI Video\\LStyle\\QyCl,安装地址

    3.   http://weibo.tanjiemeng.com,下载 谈结盟 微博安装程序地址
    {PROGRAM_FILES}\\Sina\\WeiboHot\\Bin\\Weibo安装地址

    4.  http://tts.tanjiemeng.com, 下载 谈结盟 游戏地址
    LOCAL_APPDATA}\\TaoTaoSou\\TTK\\TaoTaoSou,安装地址

    5.  http://yyfm.tanjiemeng.com,下载 谈结盟 yy语音安装程序地址
    {PROGRAM_FILES}\\fmol_*.*,安装地址

    6.  http://uc.tanjiemeng.com,下载地址 下载UC浏览器安装程序地址
    {PROGRAM_FILES}\\UCBrowser\\Application\\U,安装地址

    7.  http://bwt.tanjiemeng.com,下载 谈结盟 安装程序地址
    {LOCAL_APPDATA}\\B5T\\ShoppingAssistant\\B,安装地址

    验证以上内容是否正确,则需要将虚拟机连上网,然后验证……

    现在连好网,再次进行安装该软件。
    安装完毕之后弹出一个对话框,如图6

    这正是在IDA里面找到的几个相关URL链接他们相关的下载相关的软件。

    点击完成之后,会自动又弹出“大天使之剑”。如图7


    接下来还有相关的还自动打开浏览器并打开并且系统还弹出防火墙警报,如图8:


    也打开一个UC浏览器,并提示是否设置其为默认浏览器,如图9:


    在关闭浏览器之后,浏览器还自动打开并打开如下几个链接:
    http://x.kuwo.cn/650037?from=2025009341
    http://tr.trektechies.com/
    http://g.o37o.net/2/1909.html?ui ... TAwMDEzLDEwMDAxMyw=
    http://g.o37o.net/1/1866.html?ui ... TAwMDEzLDEwMDAxMyw=


    现在再回桌面看看里面新出现的几个快捷键,如图10:


    现在再回头看看使用几个动态监测工具检测到的结果:

    1.  Process Explorer:检测到多出一下一个进程,CU浏览器,360安全加速器,PPS播放器,大天使之剑,两性健康,点滴天气,搜狗激素引擎等,如图12、13:



    2.  Regshot的扑捉结果,如图13:

    在得出的报告中查看到,以上的注册表的操作都是为以上以及软件运行进行注册,使得相关软件能够在下一次系统开始运行时就直接运行。
    3.  Apate DNS 捕捉到的结果如图14:

    捕捉到的几个URL链接:
    http://get.sougou.com
    http://www.hongganshebei.org
    http://dts.tanjiemeng.com
    http://ip.ws.126.net
    http://weather.gtimg.cn
    http://pianku.douww.com
    http://mini.tianqi.douww.com
    http://tb.sogou.com
    这些正是运行该目标程序通过网络安装的软件,以及向外联系的目标网址。该目标软件向相关的URL发送请求,下载相关的软件,然后对相关的软件进行安装并运行。

    相关服务器信息分析:



    预防及修复措施:



    技术热点及总结:

    这个程序运用了相关的技术,实现了如下几个功能:
    1.  首先该程序自带了“点滴天气”的相关程序代码。在为联网的情况下,就实现对“点滴天气”的安装和运行,并修改相关的系统注册表,使得在系统的下一次运行时,“点滴天气”自动运行。
    2.  在联网的情况下,先完成“点滴天气”的安装之后,还向一下域名发送数据请求:
    http://get.sougou.com
    http://www.hongganshebei.org
    http://dts.tanjiemeng.com
    http://ip.ws.126.net
    http://weather.gtimg.cn
    http://pianku.douww.com
    http://mini.tianqi.douww.com
    http://tb.sogou.com
    3.  并通过链接以下的URL,进行相关文件程序,接着运行下载的程序进行安装和修改注册表。

    http://yyfm.tanjiemeng.com
    http://weibo.tanjiemeng.com
    http://tts.tanjiemeng.com
    http://yyfm.tanjiemeng.com
    http://uc.tanjiemeng.com
    http://bwt.tanjiemeng.com
    安装完之后自动运行相关的软件。

    关键技术:修改注册表、向指定的域名发送数据请求、链接相关的URL、将下载的程序自动安装并运行。

    结论:这是一个捆绑软件,其中捆绑有:点滴天气,爱奇艺,大天使之剑,两性健康,360安全加速器,搜狗急速引擎,UC浏览器,以及大天使之剑的各种论坛插件。只要是实现的功能是:通过向指定的域名发送相关请求,指定的URL下载相关程序安装并运行;为了能够及时运行安装的软件,修改了系统注册表。



    上传的缩略图              
    上传的图像    


    回复

    使用道具 举报

    9

    主题

    0

    听众

    445

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:34:48 |显示全部楼层
    我是第一个回的耶~
    回复

    使用道具 举报

    15

    主题

    0

    听众

    492

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:42:50 |显示全部楼层
    好困啊
    回复

    使用道具 举报

    20

    主题

    0

    听众

    465

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 17:59:27 |显示全部楼层
    打酱油的人拉,回复下赚取积分
    回复

    使用道具 举报

    19

    主题

    0

    听众

    518

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:51:12 |显示全部楼层
    回帖是种美德.
    回复

    使用道具 举报

    23

    主题

    0

    听众

    539

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 18:51:40 |显示全部楼层
    回个帖子,下班咯~
    回复

    使用道具 举报

    15

    主题

    0

    听众

    587

    积分

    高级会员

    Rank: 4

    该用户从未签到

    发表于 2015-5-7 19:01:47 |显示全部楼层
    无论是不是沙发都得回复下
    回复

    使用道具 举报

    15

    主题

    0

    听众

    455

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 19:06:35 |显示全部楼层
    好帖必须得顶起
    回复

    使用道具 举报

    16

    主题

    0

    听众

    430

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 19:51:11 |显示全部楼层
    好帖必须得顶起
    回复

    使用道具 举报

    15

    主题

    0

    听众

    481

    积分

    中级会员

    Rank: 3Rank: 3

    该用户从未签到

    发表于 2015-5-7 20:15:33 |显示全部楼层
    LZ帖子不给力,勉强给回复下吧
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    回帖奖励

    [详情]

  • * 每天自己主题被回复3次可获得额外2金钱奖励。
  • * 每天回复他人主题5次可获得额外3贡献的奖励。
  • * 奖励每天都可领取,一定要多参与论坛讨论哦。
  • * 同一主题的重复回复不计。
  • Archiver|手机版|聚合Vip网络社区 ( 鲁ICP备14030129号-2 )Discuz超级管家   

    GMT+8, 2018-12-11 14:21 , Processed in 1.156243 second(s), 62 queries .

    Powered by Discuz! X2.5

    © 2001-2018 Comsenz Inc. Template by A3cn

    回顶部