一、病毒簡介
CTB-LOCKER敲詐者病毒最初是在國外被發(fā)現(xiàn)的,該病毒是有兩部分組成分別是下載器部分和文檔加密部分,
CTBLOCKER敲詐者病毒下載器脫殼之樣本1
。病毒作者將下載器程序部分偽裝成郵件附件發(fā)送給一些大公司的員工或者高管,當這些人下載了郵件里的附件,解壓郵件附件運行如.src等格式的文件以后,電腦里很多格式的文件都會被加密,并且還會出現(xiàn)如下的提示畫面(圖1)以及桌面壁紙被修改(圖2)所示。
一、病毒信息<喎?http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">vcD4KPHA+sqG2vsP7s8ajulRyb2phbi1Eb3dubG9hZGVyLldpbjMyLkNhYmJ5LmNidGo8L3A+CjxwPtH5sb7D+7PGo7pyYW5raW5nLnNjcjwvcD4KPHA+0fmxvrTz0KGjujI4NjcyINfWvdo8L3A+CjxwPtH5sb5NRDWjukFCMjlDNjYxNDZGRUUzQTdFQzA1NUIxOTYxMDg3MjU2PC9wPgo8cD7R+bG+U0hBMaO6QkYzNzdFM0NENTRCOUVGM0ZDMEVCQ0EyMjQwREU0QTQ5NjM4QTg4MzwvcD4KCjxwPiA8L3A+CjxwPrb+oaKyoba+zdG/xzwvcD4KPHA+Q1RCLUxPQ0tFUsfD1anV37Khtr7T0MG9sr+31tfps8mjrNTdyrHWu7fWzva4w7Khtr61xM/C1NjG97K/t9aho0NUQi1MT0NLRVKyoba+tcTPwtTYxvezzNDyzsS8/rXEt7S747Hg1rjB7tbQ09C63LbgtcTArLv41rjB7qOssrvKx8THw7TI3dLXyc/K1rfWzvajrLzTyOvArLv41rjB7sS/tcTKx86qwcvX6Na5sqG2vrfWzvbIy9SxtcS31s72o6y1q8rH0OjSqse/tfe1xMrHuMPR+bG+PC9wPgo8cD7W0MvkyLvT0LrctuC1xMCsu/jWuMHuo6zN0b/Hu7nKx7rc09C55sLJtcSjrLKix9LN0b/H0tS687XEUEXOxLz+u7nKx7HIvc/I3dLXt7S747HgtcShozwvcD4KPHA+z8LD5srHT0TWsb3Tt7S747HgtcS92M28o7o8L3A+CjxpbWcgc3JjPQ=="http://www.2cto.com/uploadfile/Collfiles/20150507/2015050710110030.png" alt="\">
CTB-LOCKER敲詐者病毒樣本脫殼調(diào)試的時候有一個比較明顯的特點:OD動態(tài)調(diào)試時,應該在跳轉(zhuǎn)指令如Jmp和一些關鍵Call調(diào)用的地方下F2斷點,接著F9運行,然后再繼續(xù)在跳轉(zhuǎn)指令如Jmp和一些關鍵Call調(diào)用的地方下F2斷點,如此反復,直到出現(xiàn)Jmp [eax]類似的指令再慢慢調(diào)試,
電腦資料
《CTBLOCKER敲詐者病毒下載器脫殼之樣本1》(http://www.lotusphilosophies.com)。截圖如下:
Enter跳到地址00401DF4處,按照上面的步驟在跳轉(zhuǎn)指令和關鍵Call的地方下斷點,然后F9運行調(diào)試。
如此反復重復上面的操作,進行動態(tài)調(diào)試:
動態(tài)調(diào)試運行到如下圖的狀態(tài),說明里脫殼的地方不遠了:
終于找到了目標指令JMP DWORD PTR DS:[ESI]:
經(jīng)過不懈的努力,終于找到了目標PE文件的內(nèi)存Dump地址008F0000處。
選中內(nèi)存地址008F0000以后的所有的二進制內(nèi)存數(shù)據(jù),然后如圖所示進行二進制數(shù)據(jù)的內(nèi)存拷貝。
內(nèi)存PE文件的數(shù)據(jù)已經(jīng)被拷貝出來了。用WinHex創(chuàng)建一個新的空白文件打開,然后將剛才拷貝的二進制內(nèi)存數(shù)據(jù),Ctrl+C拷貝到該空白文件中并保存,如圖所示:
前面截圖截了那么多頁挺累的,其實還有一個一步到位Dump目標PE文件的方法,就是在函數(shù) VirtualProtect和 VirtualProtectEx的地方下斷點,如圖所示:
F9運行程序,如下圖,采取上面提到的手工Dump PE文件的方法就可以從內(nèi)存獲取到目標PE文件了。
四、病毒分析
現(xiàn)在好了,可以快樂的分析病毒樣本了,選擇OD或者IDA都OK。
筆記到此為止,可以拍磚了。