没有找到适合的图片
某感染型病毒分析查杀
最近有个朋友不小心中了一个感染型病毒,导致磁盘内部分exe文件被感染,也正好顺手抽时间来分析一下(因为这个病毒没啥意思所以本文不会详细写每一个点纯当流水账记录)
我管他要了两个感染文件当样本
先来看一下PE情况
很明显有一个不正常的节被添加到exe里了而且入口点也是在这个节里,很常见的感染方式
直接打开IDA加载PE看看
把汇编稍微整理了然后在整理一下F5差不多看的就比较清晰了
1 | // write access to const memory has been detected, the output may be wrong! |
这段shellcode其实也是非常简单
1.将exe原始入口点写到shellcode后面
2.将shellcode后面附加的exe写到临时路径中
3.调用WinExec执行释放的exe
4.跳转执行到exe原始入口点,如下图
根据以上过程写出此病毒查杀恢复工具也是非常简单,基本思路就是遍历磁盘exe,找特征码,然后读取并恢复原始入口点,最后删除多余节
我比较懒像这种项目随便改个感染型专杀工具就行了,所以我这里就随便找了个看雪上的专杀工具改了改在此感谢这位老哥
https://bbs.pediy.com/thread-146134.htm
效果如下
点Kill后会恢复被感染的文件
查看PE文件发现多余节已经被删除入口点也已经恢复
源码地址:https://github.com/WBGlIl/wbg_tools/blob/master/KillWorm.7z
根据释放文件的hash找到的关联信息
IOC
4354970CCC7CD6BB16318F132C34F6A1B3D5C2EA7FF53E1C9271905527F2DB07
至于释放的文件等有时间我想起来可能会再去分析一下(主要是意义不大不想分析懒)