ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。
プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。
自プロセス→アンパック→CreateProcess→unpacked を実行と考えると、子プロセスはアンパック済みのものと予想できる。
とりあえず CreateProcessW でブレイクを待ち構えてみる。
procmon で追いかけながらステップ実行していくと、CreateProcessInternalW が実行されると子プロセスが実行されるみたい。
CreateProcessInternalW の時のメモリ内にプログラムっぽいものはないか探してみると2つあった。
ダンプしたデータをそれぞれ FileInsight でいらない部分を削り拡張子をつけてみると、
一つはオリジナルの検体と同じアイコン(左)、もう一つはアイコンなし(右)
左はオリジナルと同じ挙動、右はオリジナルの子プロセスと同じ挙動なので、
右がアンパックに成功しているバイナリと思われる。
(右は strings で見れる値も結構変わって、いろいろ「見える」様になった気がする。)
Panda Banker Zeros (unpacked)
SHA1: 2655606b0213a80da1b93381442019f4bc092740
(Virus Total には上がっていなかった。)
unpacked を Strings にかけて気になったところ
通信関連?
upd
%s%08x.%s
は、自身を削除するバッチファイルの名前生成部分。
「aeiouy」→「アイウエオ?」(たまたまかな。。。)
バッチファイルの実行コマンドと同じ。
レジストリにアクセスしようとしているのも見える。
network.http.spdy.enabled → FireFox の設定?
IDA で覗いてみると Import テーブルに CreateToolhelp32Snapshot/Process32Next がある。
プロセス監視をしているみたいなので、何のプロセスを見ているか調べてみる。
監視対象プロセス(実行している exe 名と比較している)
immunity
processhacker
procexp
procmon
idaq
regshot
aut2exe
実行プロセスのファイル名しか見ていないっぽいので procmon.exe を mymon.exe に変えてキャプチャしてみる。
なんかいる。
Category is Write でフィルタした結果。
Majuro.exe のハッシュ値は unpacked と同じ。
pytz は python のタイムゾーン関連のライブラリ?
Majuro?
通信は今のところ出ていないっぽい。
