失效的比特币病毒 CTB-Locker

前言

之前分析过一个比特币勒索病毒,但是因为水平不太够,而且没有仔细分析,所以只是分享我分析的过程,希望可以互相交流。

分析过程

第一轮

在此处程序会弹出写字板并停止运行

第二轮
既然程序因为该call停止 因此直接进入call并F7所有会调起写字板的call

到达0040233F后汇编分析失败 改为F7单步调试

进入771533A0后继续F8调试 直到尝试跳过75A8FD8D时再次调起写字板

第三轮
由上一轮可知是75A8FD1D的跳转导致写字板调起 直接进入跳回位置调用的call

单步调试至402366处继续F7单步

单步调试直到返回004017FA继续如前调试

调试至00402188后开始有所变化 怀疑进入真正的程序执行部分

004021BE处将virtualallocex压入esi

紧随其后存在jnz 前方存在内存开辟 可以猜测是自解压或解密

跳过循环 没有调起写字板

在其后的jmp进入ecx保存的地址00240000 猜测解压或解密内容存放在此处

单步调试至240080进入retn

转跳至00260081继续调试直到0026012D 发现多次修改00401288保护属性 可能为修改病毒内容的读写权限

在002601B8retn进入0040146A

发现多个网址 疑似病毒部分下载地址

多次开辟内存并读取http数据

00401698处调起写字板但程序没有停止 即程序在调起写字板后直至停止的部分在这之后

004016C8处发现微软官方网址 进入随后的call查看作用

00401B20处疑似尝试通过火狐打开网页

连接前方压入ebp的地址

程序在随后调试中停止 推测为下载失败程序自动终止 往后查看发现存在文件写入 可能为病毒写入

第四轮
这次选择不进入call然而依然无法通过call 往下查看发现sleep

推测为下载病毒文件后自我休眠5分钟开始执行病毒程序

随后因为病毒链接已经失效且无法运行 不能进一步分析

附上360对该病毒的解析
http://blogs.360.cn/post/ctb-locker.html

总体思路

病毒不像普通程序,基本不会存在多种功能选择,唯一目的是释放病毒并进行破坏等操作,所以分析时可以顺序跟随病毒执行顺序分析,需要做的只是分析每个部分的功能,以及排除用于混淆的垃圾代码。