鬼影样本分析
提升进程权限
将safemon.dll远线程注入explorer进程
运行ie浏览器打开网页http://xytets.com:2345/t.asp?id=1002 ,然后结束进程
看来主要功能都在释放并加载的驱动文件里了,接下来分析下加载的驱动文件吧
接下来分析safemon.dll,先分析进程名是explorer的情况
解密出来了两个网址:l.nodsafe.com , n.nodsafe.com
重复尝试连接网站l.nodsafe.com和 n.nodsafe.com
接下来分析进程名是IEXPLORE.EXE的情况
首先看下p2pc.inc文件
读取配置项p2pc.ini
解密出配置项中url_0那一项的内容是http://www.h0120.com/?1
Hook实现修改浏览器主页为http://www.h0120.com/?1
接下来分析beep.sys文件
貌似就设置了一些注册表项加载p2phook.sys驱动
最后做个总结吧
1:样本先检测是否在虚拟机中运行,如果是则打开网页http://xytets.com:2345/t.asp?1002vm并退出自身进程,如果不在虚拟机中则在c:\temp路径下生成随机10位字母名称的驱动文件,加载驱动。并设置为开机自启动 。
2:随机名称的驱动文件生成p2phook.sys(和原文件一样的驱动文件) ,safemon.dll,p2pc.ini,beep.sys,并讲beep.sys替换掉系统原本的beep.sys文件
3:将safemon.dll注入到explorer进程,并访问网址l.nodsafe.com和 n.nodsafe.com
4:检测到浏览器进程就会注入safemon.dll,修改主页为http://www.h0120.com/?1
本文由看雪论坛 小白鼠_897235 原创
