AutoUpdate一款可疑更新程式分析報告

2021-08-01 13:19:22 字數 1758 閱讀 2061

病毒名稱為autoupdate.exe,執行後無視窗。採用upx加殼,編寫語言為microsoft visual c++ 6.0。

病毒名稱:autoupdate.exe

所屬家族:木馬

md5值:776da18e62b346bb7b9f3f9f9c4fc158

sha1值:d541e35caad8ddc641c59a550218eaf289b64d9c

crc32:47cd188f

病毒行為:

連線到指定網路ip,接受傳送資料報、修改登錄檔。

環境:win7 

工具:ida 、od、pchunter

建立sock連線ws2_32.dll 

連線網路 106.15.100.10:443

監聽本地1075埠

修改登錄檔_新增啟動項

這裡判斷windows版本 

osversioninfo結構體

typedef struct _osversioninfo osversioninfo;

比較dwplatformid欄位是否為 ver_platform_win32_windows

判斷如果為 win95或98跳轉

比較 dwmajorversion欄位  5:為2000以上版本

判斷如果為 是否是2000以下版本跳轉

wh_cbt(5) :安裝乙個掛鉤處理過程,接受對cbt應用程式有用的訊息 ,詳情參見 cbtproc 掛鉤處理過程.

第二個引數 訊息對調函式位址

第三個引數

hmod:指示了乙個動態鏈結的控制代碼,該動態連線庫包含了引數lpfn 所指向的掛鉤處理過程.若引數dwthreadid指示的執行緒由當前程序建立,並且相應的掛鉤處理過程定義於當前程序相關的**中,則引數hmod必須被設定為null(0).

第四個引數:指示了乙個執行緒識別符號,掛鉤處理過程與執行緒相關

看看訊息函式004b2adb,裡面做了什麼

下面建立乙個視窗

視窗屬性為80  就是 ws_ex_toolwindow

乙個隱藏視窗:這個屬性視窗有一下特點 1.

不在工作列顯示。 2.

不顯示在

alt+tab

的切換列表中。 3.

在任務管理器的視窗管理

tab中不顯示。

也就是乙個隱藏視窗

第二個hook

訊息函式位址為004b28af

這裡就是新增啟動項了,把自己啟動名稱偽裝成輸入法的名稱。

開啟software\microsoft\windows\currentversion\run鍵值新增ctfmon啟動項。

這是建立乙個udp服務端 埠為62008

具體行為如下:

該程式sock網路連線採用動態載入方式,初始化winsock 版本為2.2

繫結套接字

建立乙個tcp連線:

具體行為如下:

繫結埠

連線到指定ip

傳送乙個大小為1直接的資料報 內容為asscll碼21。

接收20個位元組大小的資料

』該樣本可能為某軟體的更新程式,裡面有大量loadlibrary呼叫非系統名稱的dll檔案。但自己新增啟動項,建立網路連線行為存在風險。

結束病毒程序autoupdate.exe

刪除檔案autoupdate.exe

刪除登錄檔鍵值

hkey_local_machine\software\microsoft\windows\currentversion\run下面的ctfmno項。

下對應的鍵值。

推薦一款網遊

三月王朝 也叫帝國霸略 挺不錯的,優點 20 多人約好晚上一起打都城,很帶勁。qq飛車採用了世界級的物理引擎physx,採納專業車手的建議,手感全面超越市場領先產品。qq飛車完全免費,qq號碼即可登陸。專為qq使用者設計的時尚的人物造型,爽快的漂移快感,帥哥與美女同在,速度與激情並存,帶你進入眩目的...

修正一款php webshell

if empty post newcontent ph4ckp v2.0 by pr0cess modified ph4ckp v2.0 modified operating system echo php os server name server ip server time server po...

一款新方塊遊戲

一款新方塊遊戲 這裡介紹的方塊遊戲是一款嶄新的方塊遊戲,無需安裝,直接執行,既可以鍛鍊反應速度,又可以增強形狀變換能力,使視覺方向擴充套件到上下左右四個方向。如圖 遊戲操作簡單,使用回車鍵開始遊戲。使用方向鍵調整上下左右的開口方向,繼續按方向鍵調整中心方塊的朝向,總是順時針旋轉。空格鍵發射,使中心方...