骷髏病毒分析報告

1. 基本信息：        

   • 報告更新日期：2018-11-3

   • 樣本類型：遠控後門木馬
   • 樣本大小：21KB
   • 樣本MD5：5B8BC92296C2FA60FECC6316AD73F1E2
   • 樣本SHA1：44B95162F85B81E71E5F2E7ABBC904A6339CE0AA
   • 殼信息：UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
   • 可能受到威脅的系統：Windows系列
2. 簡介：
   • 複製自身到系統目錄並假裝成服務程序運行，並經過局域網共享感染其餘主機，同時與遠程服務器進行通訊，將當前系統信息上次、獲取指令以及更新程序
3. 被感染系統及網絡症狀：
   • 系統中存在一個名稱爲「456876」，描述爲「456468465」的自啓動運行服務，服務的執行路徑在系統目錄，且名字爲6字母組成
   • 同時系統會訪問"www.gassxxx.com"和「aa.re67das.com」
4. 註冊表變化：
   • HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services中建立一個名爲「15654656」的子鍵項，具體鍵值以下
5. 詳細分析：
   • 主體功能：
   • 安裝service功能：
   • service main主要功能：
     • 局域網傳播部分：在copy_to_share2()中，用傳進去的用戶名和密碼進行登陸局域網目標主機共享目錄，若是成功登陸即複製當前文件到目標主機。
     • 遠控部分：遠控有三個線程在執行，他們的主要功能都大同小異，只是通訊的目標地址不同而已，如下是它們的主要程序。接下來針對控制碼，進行相應的操做，具體操做以下。
     • 具體控制碼分類見下圖：
     • 解密部分：此處須要解密字符串才能得出目標網址，經過OD直接運行獲得解密後的網址爲「www.gassxxx.com:1988」。具體算法，後續分析...
   • 參考：https://www.52pojie.cn/forum.php?mod=viewthread&tid=593403&extra=page%3D1%26filter%3Dtypeid%26typeid%3D62&page=1  https://www.52pojie.cn/forum.php?mod=viewthread&tid=593454&page=1&extra=#pid15594667 https://s.threatbook.cn/report/file/5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5/?sign=history&env=win7_sp1_enx86_office2007