软件逆向-高级APT木马逆向分析

特点:释放了13个文件,普遍都很小只有几百kb

释放隐藏文件1个
自我复制 1个
设置了自启动
查壳.

1、病毒来自水坑攻击,文档投毒或U盘感染.
2、病毒行为:
反检测技术:检查SCSI接口磁盘的ID，可能被恶意程序用于检测是否运行在虚拟环境中.
通过检查注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Disk\Enum\
虚拟机下会有 QEMU,vbox,vmware,virtualhd等字样.
反逆向工程:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码，并且用一种新的技术在远程进程中执行它，这种技术完全工作在用户模式下，并且不需要特殊的条件比如像管理员权限或者之类的要求

设置注册表实现自启动:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
加载模块资源并rsa解密出pe文件

通过在svchost.exe注射代码,来实现通信.

通过判断计算机语言来执行一些操作.
3、病毒获取信息:
查询系统用户名:GetUserNameW
获取系统信息:GetSystemInfo
查询计算机名:GetComputerNameW
C:\Windows\win.ini

具体的信息都在44FF2421BBD7918C6AD68DA4FA276E02.exe.idb 文件中了,这个apt有些复杂,其中有许多地方还是有些不明白.
希望和朋友们多多交流,文件我全部打包上传了,可以留言一起研究