[文件病毒] 某病毒样本分析

样本来源

样本来源于论坛网友@yjhyjh0258

样本分析

打开网站会下载一个查询5147.bat，用文本工具打开发现是一个exe文件。

该exe执行逻辑比较简单，开始会下载一段shellcode 然后执行。

Shellcode中包含了一个dll文件，shellcode在完成一些初始化工作后会执行dll中的导出函数Hanshu。

该函数大体有以下几个行为：

下载一个txt文本

下载一个被加密的txt文件，解密后得到后续需要的文件下载地址。

下载其余模块并存储

根据不同系统版本下载不同的bin文件（该文件用于后续注入到explorer.exe）,存放到注册表HKCU\Console\qweasd123zxc ， Local/Temp目录下config.ini 和
ProgramData/config目录下config.ini。

其余文件对应关系如图

创建3个链接，并执行

在执行链接文件前会发送WM_CLOSE窗口消息，尝试关闭某些杀毒软件。

删除一些不需要文件，并将shellcode注入explorer.exe

Shellcode 为之前下载的bin文件，被存储在注册表qweasd123zxc中

到目前位置代码有两个走向一个是 ShellExecuteA 执行的链接文件，另一个是注入到explorer.exe 的shellcode。

ShellExecute 会运行quick 程序，quick 在接着运行thunder.exe 并将要执行的注册表语句作为命令行参数传递，thunder.exe 通过注册表将1.exe 作为启动项实现持久化存储。

1.exe采用白+黑的形式，加载mhRCPlayer-dll.dll。
mhRCPlayer-dll.dll是一个注入器，会读取C:\ProgramData\config\config.ini，将shellcode在注入到explorer.exe中。

到此代码都走向explorer.e