CTB-LOCKER敲诈者病毒下载器脱壳之样本1
来源:互联网 发布:淘宝买家怎么修改中评 编辑:程序博客网 时间:2024/05/17 23:53
一、病毒简介
CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。
一、病毒信息
病毒名称:Trojan-Downloader.Win32.Cabby.cbtj
样本名称:ranking.scr
样本大小:28672 字节
样本MD5:AB29C66146FEE3A7EC055B1961087256
样本SHA1:BF377E3CD54B9EF3FC0EBCA2240DE4A49638A883
二、病毒脱壳
CTB-LOCKER敲诈者病毒有两部分组成,暂时只分析该病毒的下载器部分。CTB-LOCKER病毒的下载器程序文件的反汇编指令中有很多的垃圾指令,不是那么容易上手分析,加入垃圾指令目的是为了阻止病毒分析人员的分析,但是需要强调的是该样本
中虽然有很多的垃圾指令,脱壳还是很有规律的,并且脱壳以后的PE文件还是比较容易反汇编的。
下面是OD直接反汇编的截图:
CTB-LOCKER敲诈者病毒样本脱壳调试的时候有一个比较明显的特点:OD动态调试时,应该在跳转指令如Jmp和一些关键Call调用的地方下F2断点,接着F9运行,然后再继续在跳转指令如Jmp和一些关键Call调用的地方下F2断点,如此反复,直到出现Jmp [eax]类似的指令再慢慢调试。截图如下:
Enter跳到地址00401DF4处,按照上面的步骤在跳转指令和关键Call的地方下断点,然后F9运行调试。
如此反复重复上面的操作,进行动态调试:
动态调试运行到如下图的状态,说明里脱壳的地方不远了:
终于找到了目标指令JMP DWORD PTR DS:[ESI]:
经过不懈的努力,终于找到了目标PE文件的内存Dump地址008F0000处。
选中内存地址008F0000以后的所有的二进制内存数据,然后如图所示进行二进制数据的内存拷贝。
内存PE文件的数据已经被拷贝出来了。用WinHex创建一个新的空白文件打开,然后将刚才拷贝的二进制内存数据,Ctrl+C拷贝到该空白文件中并保存,如图所示:
前面截图截了那么多页挺累的,其实还有一个一步到位Dump目标PE文件的方法,就是在函数 VirtualProtect和 VirtualProtectEx的地方下断点,如图所示:
F9运行程序,如下图,采取上面提到的手工Dump PE文件的方法就可以从内存获取到目标PE文件了。
四、病毒分析
现在好了,可以快乐的分析病毒样本了,选择OD或者IDA都OK。
笔记到此为止,可以拍砖了。
- CTB-LOCKER敲诈者病毒下载器脱壳之样本1
- CTB-Locker敲诈者病毒下载器分析
- 什么是敲诈者病毒
- 警惕敲诈者病毒 用户遭遇"敲诈"要冷静处置
- Android病毒样本分析(1)
- Android最新敲诈者病毒分析及解锁
- Onion、WannaCry敲诈者蠕虫病毒防御工具
- 中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?
- 【良心发现】TeslaCrypt敲诈者病毒作者放出解密密钥,TeslaCrypt病毒解决方案
- 不定期更新最新流行病毒木马样本打包高速下载
- Easy File Locker下载
- Android敲诈者病毒“安卓性能激活”分析(2015年9月版)
- Android最新敲诈者病毒分析及解锁(11月版)
- 腾讯安全反病毒实验室:“敲诈者”黑产研究报告
- 阻止比特币敲诈病毒方法
- 简单病毒样本分析
- 获取病毒样本
- 病毒样本分析小结
- IOS开发基础—按钮(button)基本操作
- linux 命令之strings
- 排序算法——归并算法
- golang xml 递归嵌套解析
- Android ExpandableListView 仿QQ列表页面,title永远在上面,带下拉刷新,上拉加载。
- CTB-LOCKER敲诈者病毒下载器脱壳之样本1
- 1013. Battle Over Cities (25)
- 文字自右向左滚动代码
- Android学习之文件管理器
- 阅文QA面试经验总结
- 如何选择开源软件
- git的使用
- CentOS安装memcached及配置php的memcache扩展
- centos同步服务器时间