avatar

目录
e5799d14e6ecfefb727bf22c8b9f36a8621655454a6480f3dd94812250bec9d0

e5799d14e6ecfefb727bf22c8b9f36a8621655454a6480f3dd94812250bec9d0

文件信息:

文件: C:\Users\sam\Desktop\e5799d14e6ecfefb727bf22c8b9f36a8621655454a6480f3dd94812250bec9d0

大小: 41,984 Bytes

修改时间: 2020/6/5 9:51:55

MD5: 97be8e0cde4494bd1f21ab1fe4f04590

SHA1: a5c3360f539edb9294cd5a9c22ef19bb0d09a9f8

CRC32: 921fde15

文件类型

通过文件头可知,样本为一个MS office文件,打开后提示带有宏代码

动态行为

运行过程中,在Excel的进程链中调用CMD创建了大量进程

样本母体创建了三个文件夹C:\User\Username\Adobe,C:\User\Username\Daily,C:\Drivers

创建两个计划任务Yahoo_Driver和Winmgt_log分别执行C:\Drivers\dphc.exe和C:\Drivers\Drive.vbs

详细分析

程序运行之后xls报错,但是宏代码正常运行了起来,宏代码被密码保护

破解后宏代码内包含3个Excel对象一个窗口,ThisWockbook是病毒代码,Sheet1、Sheet2、Sheet3为3个空表

解密数据并写入

创建文件夹C:\Drivers,并在文件夹下创建Drive.txt,将数据解密后写入Drive.txt文件中

Drive.txt写入的内容

写入文件并执行

在C:\Driver下新建一个Audio.txt,向其中写入代码,这里是明文操作,没有加解密,写入代码完成后,将Audio.txt改名为Audio.bat并执行

Audio.bat的代码

Audio的功能主要为创建三个隐藏文件夹,获取计算机的COMPUTERNAME并保存,创建两个计划任务,一个执行前面的Drive.vbs,一个执行Drive.vbs下载回来的exe,将Driver.txt改名为Driver.vbs

窃取的COMPUTERNAME

远程下载

Drive.vbs通过远程连接,下载exe文件保存到C:\Drivers\dphc.exe

下载后通过创建的计划任务执行

dphc.exe

查壳,无壳

解密字符串

从硬编码读取一个字符串后通过加解密,解密出字符串”userprofile”

从另一个硬编码解密出字符串并拼接出”C:\Users\sam\Adobe\Driver\pdf\pid.txt”

读取数据

通过解密出的字符串打开文件”C:\Users\sam\Adobe\Driver\pdf\pid.txt”,并将内容读取到内存中,读取到的内容是前面获取的COMPUTERNAME和5位随机数字

一个死循环函数,判断当前时间是否为每分钟前40秒

通过解密字符串后,与前面获得的COMPUTERNAME拼接,得到”/orderme/WIN-S5OSAV0J2LE-12967”

解密字符串,得到C2,”mailsession.online”

通过解密字符串,解密出HTTP请求的lpszAgent

解密出的lpszAgent

建立连接

与C2 “mailsession.online” 建立连接

建立连接后,读取传回信息的Conten-Type,根据不同的内容执行不同的代码

判断执行

传回参数Conten-Type为”xDvsds”时解密出一个路径,从C2读取数据写入到文件中并执行

解密出的路径

拼接之后的路径为 “C:\Users\sam\Adobe\Driver\dwg\wuaupdt.exe”,调用ShellExecuteA执行

传回参数为”Bw11ew”时,读取数据到一个bat文件中并执行

如果读取到的Content-Type既没有”xDvsds”,”Bw11ew”则直接返回,开始下一个循环

文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2020/06/06/e5799d14e6ecfefb727bf22c8b9f36a8621655454a6480f3dd94812250bec9d0/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论