Parite家族蠕虫利用多态变形技术避开传统杀毒软件,通过全局钩子注入恶意DLL到多个进程。样本在启动后检查进程,非explorer则退出,同时感染其他文件并进行局域网传播。病毒使用简单异或加密,解密后动态加载库以躲避内存查杀。DLL文件注入后,开启互斥体、设置全局钩子,并对比注入进程是否为explorer.exe,进行文件感染和信息发送。
parite家族,此家族属于蠕虫系列,在这次发现的样本中使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。启动后通过开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中其他文件进行感染,即使将钩子卸载也无济于事。
可以看到开头有一段揭秘函数,可以判断病毒在可执行文件中,病毒使用了多态变形技术,这种技术主要是为了躲避早期杀毒软件基于特征码的查杀技术,此病毒的多态变形技术主要体现在通过不同的加密密钥来生成不同的加密体。样本的开始加密密钥分别是
0x9B744E7E
0x9B753CC6
0x9B91DEDA
0x9B66578A
0x9AEBD665
0x9BA10E5D
加密算法只是使用了简单的异或
根据加密写出的解密脚本,将代码解密出来
在解密出来的代码来看,很多
动态加载动态库,并动态加载函数的方法,来躲避杀软对其的内存查杀
在系统临时文件夹创建文件,文件名是随机的四个字符串。
循环揭秘数据到临时文件中
可以看出揭秘出来的临时文件为一个加了upx壳的dll文件
最后加载这个dll文件,并调用DLL文件的initate函数
对dll脱完壳进行分析可以发现,首先开启一个互斥体,并注入钩子,可以看出钩子函数没有什么动作,但是可以起到屏蔽所有消息的作用,这个全局钩子的主要作用通过其他进程要加载的特性,将DLL文件注入到所有的调用CALLWNPROC的进程中。
钩子函数:
此时这个进程已经完成任务剩下的主要工作都在DLL中
首先比较注入的进程是否为 explorer.exe,如果不是,则退出。
查找共享网络中的文件进行感染,进行局域网传播
对计算机exe文件进行感染
取得操作系统版本号和计算机名称进行发送
扫一扫
3687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
