Win32/Angryel病毒分析報告
1 病毒資訊
病毒名稱:Win32.Angryel.a
Win32.Angryel.f
病毒型別:感染型病毒
MD5: E71753F29D585B6E330087EC6FB6AA47
7AB4886F584AE487F795E360D2396CC9
SHA1: 42C7F9FC264EC109D77D604C0D253049B8BB1DEA
509B15E97B9A96600E701130C0E3EEBBCB26E3DB
檔案型別:PE EXE。
檔案大小:8591 位元組
9418位元組
傳播途徑:通過感染PE檔案傳播。
影響系統:Windows系統下的32位系統版本
2 病毒概況
該病毒是一款惡性感染型病毒,一共有兩種變種(變種“A”和變種“F”),他們的區別在於變種“F”感染的可執行檔案只能有一個執行,造成其它被感染的exe檔案不可以被執行。而變種“A”修復了這一問題,使被感染的exe 檔案都可以被執行。這款病毒會感染字尾為.exe 和 .scr 檔案,而且該病毒沒有對已被感染的檔案做出判斷,會造成同一檔案被多長感染的情況出現。
該病毒啟動後會釋放一個純粹的病毒檔案到system32目錄下,並設定為系統隱藏屬性,開啟互斥體確認是否是第一次啟動,把釋放的病毒檔案設定為開機啟動,並開始檢測功能。
3 病毒危害
從C盤開始遍歷感染全盤的exe 和 scr 檔案。
變種“F”會導致被感染的exe檔案不能執行。
4 檔案行為
1). 在system32目錄下釋放Serverx.exe
2). 感染全盤的exe和scr檔案
5 程式行為
1). 入侵explorer.exe,寫入Serverx.exe 的程式守護程式碼。
6 登錄檔行為
1). 建立登錄檔:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
建立Serverx.exe開啟啟動
監控“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”整個項
如果有變動,則執行第二點,新增登錄檔
7 網路行為
嘗試訪問一下網站
http://vguarder.bravehost.com/user.htm
http://vguarder.91i.net/user.htm
8 手工清除方法
由於是感染型病毒,不建議手工清除。
9 應對措施及建議
1) 建立良好的安全習慣,不開啟可疑郵件和可疑網站。
2) 備份好電腦的重要資料和文件,定期檢查內部的備份機制是否正常執行。
3) 不要隨意接收聊天工具上傳送的檔案以及開啟發過來的網站連結。
4) 使用移動介質時最好使用滑鼠右鍵開啟使用,必要時先要進行掃描。
5) 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
6) 安裝專業的防毒軟體升級到最新版本,並開啟實時監控功能。
7) 為本機管理員賬號設定較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
8) 不要從不可靠的渠道下載軟體,因為這些軟體很可能是帶有病毒的。
10 詳細分析報告
1) 建立異常鏈後續感染檔案等操作都在異常鏈中進行
2) 構建自己的IAT表
3) 建立互斥體“Angry Angel v3.0”,該互斥體在變種A下用途是用於識別病毒程式碼是否啟動,如果已經啟動則直接通過INT 3 在異常中跳過病毒程式碼部分,直接從真正入口點開始執行。而變種F因為這個互斥體跳轉INT 3 斷點時,沒有對應處理程式碼而倒是檔案不能被執行。
4) 再一次執行被感染程式,原本的程式用於執行病毒程式碼,而再次啟動是為顯示原本執行程式。
5) 釋放serverx.exe 病毒檔案,serverx.exe是純病毒檔案。
6) 設定Serverx.exe 檔案屬性為只讀|隱藏|系統 屬性,更好的隱藏自身。
7) 設定Serverx.exe為開機啟動項
8) 開啟執行緒迴圈偵測設定的啟動項,如果被修改,則再次修改回來
9) 開啟explorer.exe 程式寫入Serverx.exe程式守護執行緒。
10) 在explorer中申請空間,寫入惡意程式碼,該惡意程式碼的作用是保護Serverx.exe程式,如果該程式被結束,則再次啟動該程式。
11) 開啟Expoler 中的遠端執行緒
12) 變種A中的遠端執行緒
變種F中的遠端執行緒
13) 之後為感染部分使用INT 3 進入異常鏈中執行
異常鏈中的程式碼
14) 獲取到檔案後,將檔名移到後四位(也就是字尾名),然後將後四位 或上 0x20202020
15) 判斷檔案字尾名是不是 .exe 或者 .src ,是的話就進行感染操作
16) 先將檔案屬性設定為普通屬性,避免檔案不能被感染
17) 判斷 PE + 0x19B 的位置是不是 0x7A506C79, 如果是則跳過感染過程,(0x7A506C79為該病毒的感染標誌)
18) 感染檔案的過程
11 樣本溯源分析
樣本內的相關伺服器已經關閉多年,無法獲取相關資訊。
12 總結
這是一個感染型的病毒,該病毒會感染計算機上的exe檔案,並且會注入系統程式,並且嘗試訪問指定網址。
1.生成互斥變數:Angry Angel v3.0
2.生成檔案,並且把該檔案屬性設定成系統隱藏:%System%\Serverx.exe
3.新增登錄檔起始項,是病毒開機執行%System%\Serverx.exe
4.開啟執行緒監控保護登錄檔的中病毒所建立的項.
5.查詢系統程式,並且注入程式碼執行。
6.嘗試訪問以下網站:
http://vguarder.91i.net/user.htm
http://vguarder.bravehost.com/user.htm
7.從c盤開始嘗試感染.
8.病毒會搜尋系統中所有磁碟分割槽中的可執行檔案,將其感染,受到感染的可執行檔案大小會變大,佔用磁碟空間會增大,並且無法正常使用。另外,在病毒感染可執行檔案的這個過程中,病毒會給每個受感染的檔案做標記,以避免檔案被重複感染。
13 附錄(IOCs)
a) HASH
E71753F29D585B6E330087EC6FB6AA47
7AB4886F584AE487F795E360D2396CC9
b) C&C
http://vguarder.bravehost.com/user.htm
http://vguarder.91i.net/user.htm
相關文章
- “小馬啟用”病毒新變種分析報告
- Ghost Push —— Monkey Test & Time Service病毒分析報告
- 新冠病毒風險展望:初步分析及其影響報告
- Billy Belceb 病毒編寫教程for Win32 ----Win32優化Win32優化
- Billy Belceb 病毒編寫教程for Win32 ----Win32多型Win32多型
- Billy Belceb 病毒編寫教程for Win32 ----Win32 反除錯Win32除錯
- Billy Belceb 病毒編寫教程for Win32 ----高階Win32技術Win32
- 盜版使用者面臨的“APT攻擊”風險 “:Bloom”病毒分析報告APTOOM
- 【Android病毒分析報告】- 手機支付毒王“銀行悍匪”的前世今生Android
- statspack 報告分析
- Billy Belceb 病毒編寫教程for Win32 ----附錄Win32
- TruSSH Worm分析報告Worm
- ADDM報告分析
- AWR解析報告分析
- 7月勒索病毒報告:Globelmposter勒索病毒活動增強|美創安全實驗室
- 病毒逆向分析
- Billy Belceb 病毒編寫教程for Win32 ----PE檔案頭Win32
- Billy Belceb 病毒編寫教程for Win32 ----簡單介紹Win32
- HBS:實時分析報告
- Sodinoki樣本分析報告
- Kong mesh深度分析報告
- python分析文字報告Python
- 原神深度分析報告(上)
- 手工生成AWR分析報告
- statspack報告分析摘錄
- Statspack分析報告說明
- oracle AWR報告提取分析Oracle
- Statspack分析報告詳解
- [翻譯]Billy Belceb 病毒編寫教程for Win32 ----病毒編寫中的有用的東西Win32
- 2022愛分析· RPA廠商全景報告 | 愛分析報告
- 2022愛分析· 流程挖掘廠商全景報告 | 愛分析報告
- 2022愛分析· 信創廠商全景報告 | 愛分析報告
- 2023愛分析·大模型廠商全景報告|愛分析報告大模型
- 2022愛分析 · DataOps廠商全景報告 | 愛分析報告
- Billy Belceb 病毒編寫教程for Win32 ----Per-Process?residencyWin32IDE
- 2023愛分析 · 元宇宙廠商全景報告 | 愛分析報告元宇宙
- 2023愛分析 · 認知智慧廠商全景報告 | 愛分析報告
- 2022愛分析・智慧客服廠商全景報告 | 愛分析報告