MBOJG20Y.exe 病毒文件分析教学文档

0x01 样本概况

样本信息

文件名：MBOJG20Y.exe
分析目标：
- 初步分析病毒文件
- 查看病毒主要行为
- 详细分析病毒文件

测试环境及工具

测试环境：Windows 10 专业版 64位
分析工具：
- 查壳工具：die、exeinfope、PEiD
- 调试工具：x64dbg、dnSpy32
- 行为监控：火绒剑
- 反编译工具：ILSpy

0x02 具体行为分析

初步静态分析

使用查壳工具确认样本无壳
运行平台信息：.NET程序

动态行为分析（使用火绒剑）

执行监控：记录程序执行流程
文件监控：
- 设置文件属性
- 文件被修改
- 写入文件
- 创建文件
- 分析结果：程序无上述文件操作
注册表监控：
- 删除注册表项值
- 设置注册表项值
- 创建注册表键
- 分析结果：程序无注册表操作
进程监控：观察程序对进程的操作
网络监控：
- 发现程序连接恶意IP：91.243.44.142
- 微步在线分析确认该IP关联远控类恶意软件或勒索软件
行为监控：综合观察程序所有行为

详细代码分析（使用ILSpy和dnSpy32）

程序结构

程序主体分为三大板块：

\u0005自定义类：
- 创建名称为Form2的窗体
- 包含三个自动点击的按钮样式
- 每个按钮绑定一个自定义事件
\u0003自定义类：
- 创建名称为Form1的窗体
- 无过多行为和样式
FacadeMapper自定义类：
- 下载恶意链接内容：http://91.243.44.142/pi-Rategev_Pcikzryl.jpg
- 将资源传给\u0005类处理

代码分析流程

FacadeMapper类分析：
- 以单线程模式激活、启动、展示\u0005和\u0003定义的窗体
- 通过自定义函数：
  - PushProperty()和RateProperty()：
    - 下载远程URL指向的恶意文件到比特流
    - 返回比特流供进一步处理
\u0005类分析：
- 创建窗体和三个按钮执行连续操作
- 通过InvokeProperty()事件依次生成3个按钮的点击事件：
  - button1：绑定InsertProperty函数
  - button2：绑定IncludeProperty函数
  - button3：绑定ManageProperty函数
- 三个函数功能：
  - InsertProperty：加载托管程序集
  - IncludeProperty：锁定程序集中指定类型对象
  - ManageProperty：调用程序集中指定类型指定名称的成员函数
- 共同完成对FacadeMapper传入的比特流处理，执行远程恶意文件代码
\u0003类分析：
- 通过SetupProperty函数生成Form1窗体
- 通过Runproperty事件：
  - 生成\u0005类的实例
  - 通过.show()方法展示Form2窗口

程序执行流程总结

FacadeMapper类下载恶意链接内容到比特流
将比特流传给\u0005类处理
\u0005类创建窗体及三个按钮控件：
- 分步处理比特流
- 提取并执行指定位置的恶意代码
\u0003类展示\u0005类创建的Form2窗体
FacadeMapper生成\u0003类对象实例时调用和展现Form1窗体

当前威胁评估

由于URL指向的资源文件已失效
程序无其他明显恶意行为
现阶段不具备特别威胁性

0x03 分析技术要点

关键分析技术

动静结合分析：
- 静态分析：ILSpy反编译查看代码结构
- 动态分析：dnSpy32调试执行流程
行为监控重点：
- 网络连接行为
- 文件系统操作
- 注册表修改
- 进程操作
.NET程序分析技巧：
- 关注程序集加载行为
- 反射调用分析
- 动态代码执行路径追踪

恶意代码特征

远程代码下载执行：
- 从指定URL下载内容
- 内存中加载执行
分阶段执行：
- 通过多个按钮事件分步执行恶意操作
- 增加分析难度
窗体伪装：
- 使用窗体界面掩盖恶意行为
- 可能用于社会工程学攻击

0x04 防护建议

网络层防护：
- 拦截恶意域名/IP：91.243.44.142
- 监控异常外连行为
主机层防护：
- 限制.NET程序非常规行为
- 监控内存加载程序集操作
分析建议：
- 对类似样本重点检查：
  - 远程资源下载
  - 反射调用
  - 动态代码执行

0x05 参考资料

恶意软件分析技术参考

MBOJG20Y.exe 病毒文件分析教学文档 0x01 样本概况样本信息文件名：MBOJG20Y.exe 分析目标：初步分析病毒文件查看病毒主要行为详细分析病毒文件测试环境及工具测试环境：Windows 10 专业版 64位分析工具：查壳工具：die、exeinfope、PEiD 调试工具：x64dbg、dnSpy32 行为监控：火绒剑反编译工具：ILSpy 0x02 具体行为分析初步静态分析使用查壳工具确认样本无壳运行平台信息：.NET程序动态行为分析（使用火绒剑）执行监控：记录程序执行流程文件监控：设置文件属性文件被修改写入文件创建文件分析结果：程序无上述文件操作注册表监控：删除注册表项值设置注册表项值创建注册表键分析结果：程序无注册表操作进程监控：观察程序对进程的操作网络监控：发现程序连接恶意IP：91.243.44.142 微步在线分析确认该IP关联远控类恶意软件或勒索软件行为监控：综合观察程序所有行为详细代码分析（使用ILSpy和dnSpy32）程序结构程序主体分为三大板块： \u0005自定义类：创建名称为Form2的窗体包含三个自动点击的按钮样式每个按钮绑定一个自定义事件 \u0003自定义类：创建名称为Form1的窗体无过多行为和样式 FacadeMapper自定义类：下载恶意链接内容：http://91.243.44.142/pi-Rategev_ Pcikzryl.jpg 将资源传给\u0005类处理代码分析流程 FacadeMapper类分析：以单线程模式激活、启动、展示\u0005和\u0003定义的窗体通过自定义函数： PushProperty() 和 RateProperty() ：下载远程URL指向的恶意文件到比特流返回比特流供进一步处理 \u0005类分析：创建窗体和三个按钮执行连续操作通过 InvokeProperty() 事件依次生成3个按钮的点击事件： button1：绑定 InsertProperty 函数 button2：绑定 IncludeProperty 函数 button3：绑定 ManageProperty 函数三个函数功能： InsertProperty ：加载托管程序集 IncludeProperty ：锁定程序集中指定类型对象 ManageProperty ：调用程序集中指定类型指定名称的成员函数共同完成对FacadeMapper传入的比特流处理，执行远程恶意文件代码 \u0003类分析：通过 SetupProperty 函数生成Form1窗体通过 Runproperty 事件：生成\u0005类的实例通过 .show() 方法展示Form2窗口程序执行流程总结 FacadeMapper类下载恶意链接内容到比特流将比特流传给\u0005类处理 \u0005类创建窗体及三个按钮控件：分步处理比特流提取并执行指定位置的恶意代码 \u0003类展示\u0005类创建的Form2窗体 FacadeMapper生成\u0003类对象实例时调用和展现Form1窗体当前威胁评估由于URL指向的资源文件已失效程序无其他明显恶意行为现阶段不具备特别威胁性 0x03 分析技术要点关键分析技术动静结合分析：静态分析：ILSpy反编译查看代码结构动态分析：dnSpy32调试执行流程行为监控重点：网络连接行为文件系统操作注册表修改进程操作 .NET程序分析技巧：关注程序集加载行为反射调用分析动态代码执行路径追踪恶意代码特征远程代码下载执行：从指定URL下载内容内存中加载执行分阶段执行：通过多个按钮事件分步执行恶意操作增加分析难度窗体伪装：使用窗体界面掩盖恶意行为可能用于社会工程学攻击 0x04 防护建议网络层防护：拦截恶意域名/IP：91.243.44.142 监控异常外连行为主机层防护：限制.NET程序非常规行为监控内存加载程序集操作分析建议：对类似样本重点检查：远程资源下载反射调用动态代码执行 0x05 参考资料恶意软件分析技术参考