恶意代码分析：简单勒索病毒

0x 01 环境准备

吾爱破解虚拟机、OD、PEID、汇编金手指

注：Win7 系统对于模块和程序开启了随机初始地址的功能，会给分析带来很大的负担，所以不建议使用 Win7 进行分析。

0x 02 程序运行

程序运行方式

首先在虚拟机上做好快照，接着打开程序，运行界面如下，发现点击任何都不能运行，但是win窗口可以弹出来，这样可以简单判断这并不是一个完全的锁屏程序，很有可能是界面置前且最大化。

打开任务管理器发现几秒后消失。

 

 

 

 

 

 

 

 

 

0x 03 程序分析

首先将该程序放到PEID等检测工具中检测一下，多次检测发现是UPX壳，我们使用吾爱破解内置的UPX脱壳工具将改程序脱壳处理。

为了防止界面最大化掩盖其他分析程序，我们首先使用精易编程助手，并将精易编程助手界面置顶，防止病毒程序界面掩盖。

 

 

 

 

 

 

 

 

 

之后打开病毒程序界面，调出精易编程助手，将病毒程序调试成透明，且调成为700 500大小，但要记住识别码。

 

 

 

 

 

 

 

 

 

 

 

之后打开OD–文件-附件将病毒程序添加上。

 

 

 

 

 

 

 

 

 

点击e或者ALT+E，选择可执行模块，选择病毒程序双击。

 

 

 

 

 

 

 

 

通过反汇编窗口可以看到成功脱壳

 

 

 

 

 

 

 

 

 

之后点击OD的×，关闭程序。紧接着打开debug

 

 

 

 

 

 

 

这个程序可以病毒程序加载了什么。打开E-debug，然后按住win键+E调出桌面，并运行病毒程序。

 

 

 

 

 

 

 

选择调试，可以在E-debug上查看该病毒程序的动作。可以发现该程序调用了两个事件，地址分别是401479和401377，都是时钟事件。

 

 

 

 

 

 

 

 

 

填好注册码，点击确定，出现另一个事件。可以确定这个时间就是确认事件，4010B9地址是算法的根本地点。

 

 

 

 

 

 

 

 

 

→开始调试←

触发窗口:52010001→触发控件:16010022

控件名称:时钟2→事件地址:401479

——————————-

触发窗口:52010001→触发控件:16010017

控件名称:时钟1→事件地址:401377

——————————-

触发窗口:52010001→触发控件:16010004

控件名称:按钮1→事件地址:4010B9

 

打开OD加载这个程序，CTRL+G输入地址401479过去看看，进而分析。

发现这里有“windows任务管理器”字样，断定这个是和上文中提到的“任务管理器很快消失”现象对应。

 

 

 

 

 

 

 

这里将push ebp改成retn，表示程序调用这个函数的时候就返回。可以看到任务管理器成功打开，将其改回后有很快消失。

 

 

 

 

 

 

 

 

 

 

利用同样的方法找00401377，发现这是读秒时钟事件。同样将其改成retn后可以停止程序读秒。

 

 

 

 

 

 

 

接下来分析确定按钮那个地址004010B9，输入后到达算法处。

 

 

 

 

 

 

 

 

在此处下断点后不断验证，可以断定这部分就是算法入口。F8不断运行，总结算法。

关键算法是获得识别码a，(a* 433)-75=key

 

 

 

 

这里是一个关键跳转je，在此命令上改动可以作为爆破。

 

 

 

 

 

 

 

 

 

至此，该病毒分析完毕。