码迷,mamicode.com
首页 > 其他好文 > 详细

感染性的木马病毒分析之样本KWSUpreport.exe

时间:2015-05-23 14:21:11      阅读:158      评论:0      收藏:0      [点我收藏+]

标签:kwsupreport.exe   感染性木马病毒   pe感染病毒   金山网盾   病毒分析   

一、病毒样本简述


初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe 是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport.exe文件,经过OD的调试以及与感染KWSUpreport.exe文件的对比,能够确定获取到的KWSUpreport.exe文件是该感染样本的正常文件。


下面使用StudPE工具查看感染KWSUpreport.exe文件正常KWSUpreport.exe文件的不同,感染文件和正常的文件的文件头的信息不同,主要表现在:

1.      程序的入口点发生了改变

2.      整个PE文件的镜像大小改变了

注意:PE文件的区段的数量没有改变


技术分享


感染文件和正常的文件的区段信息不同,主要表现在:

1.      区段的RVA发生了改变

2.      区段的大小发生了改变

注意:变化的部分主要集中在.text段即代码段


技术分享


结论:初步可以判定样本文件KWSUpreport.exe的感染类型为节缝隙插入代码的感染


二、病毒样本的具体分析


正常文件的OEP为00014F9D,感染文件的OEP00015359.

对感染文件进行具体的分析:


技术分享


==========================================================================

附上获取Kernel32的基址的函数GetKernel32Instance的分析:


技术分享

==========================================================================


技术分享


技术分享


技术分享


重定位的代码位置拷贝到申请堆内存空间0015C010的代码,大小为720H字节的大小,如下图:


技术分享


技术分享


==========================================================================

附上重定位函数DoRelocateFun 的分析:


技术分享

==========================================================================


技术分享


技术分享


技术分享


下面对关键函数0015C240进行具体的分析:


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


地址00415359处的代码的对比:


技术分享


技术分享


技术分享


对创建线程的回调函数0015C50进行具体的分析:


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


技术分享


转载博客请保留本文链接:http://blog.csdn.net/qq1084283172/article/details/45933129







感染性的木马病毒分析之样本KWSUpreport.exe

标签:kwsupreport.exe   感染性木马病毒   pe感染病毒   金山网盾   病毒分析   

原文地址:http://blog.csdn.net/qq1084283172/article/details/45933129

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!