-
-
[原创]一枚worm.autorun病毒分析
-
发表于:
2012-8-5 16:23
8391
-
这是一个很新鲜的样本,感染数量已过万,而且很难去除。
分析之后,发现这个病毒的在2010就曾在网络上出现,一直进化到现在,相信autorun的方式也是与时俱进。网上没有有效的杀毒方法。你可以在虚拟机中亲自感染一下,然后再跟随分析一步步深入它。
从这篇文章中,做木马的童鞋可以学到新的免杀技巧,自启动方式;搞AV的童鞋可以直接根据我提到的杀毒步骤制作pattern。
先感染一下,症状如下:
1. 进程中有ati2avxx.exe,杀进程后马上复活
2. 文件夹选项中,“显示隐藏文件”消失
3. Ati2avxx.exe开机启动,用杀毒软件杀不掉
4. 如果插上U盘,会出现 “女友写真.exe” 等病毒程序
5. 用GMER看explorer的进程,可以看到IMES.dll加载的痕迹。
详细分析:
1. 查壳,脱壳(脱壳后的病毒母体与dll文件见附件)
用PEID查不到壳,看到”upack”字段,认定为upack壳,脱壳后按照根据调用规则,可以判断是Delphi编写。
至于脱壳过程,我是用手工脱的,自我感觉很复杂,很无趣,在此略过。
2. ati2avxx.exe分析
你可以用GMER在system32目录下找到它。
用OD加载脱壳后的程序,就可以开始真正的分析了~
为了防止跑飞,先下断CreateFileW,ZwWriteFile,WinExec,RegSetValueA,由于是用Delphi编写,看上去比C语言讨厌多了。逆向的时候,你需要记录一下经常出现的函数,来加速分析。当然,你会想到参考DeDe的分析结果,我只能说网上分享的DeDe版本太老,用来分析高版本Delphi明显力不从心。最新的IDA会对delphi有更高的识别,用IDA加载,将识别出的函数补充在OD里,加速分析。
在单步跟踪时,需要区分delphi api,还是自己实现的函数。记录那些经常被调用的函数,下次碰到的时候,步过即可。
可以直接不过的函数:
sub_0040450d
sub_004045C1
sub_00406b69
sub_00404395 GetComputerName
sub_0040440D连接字符串
sub_00404481 解码出要释放的文件路径
sub_00407EA1得到时间
sub_0040A1D5 得到文件的size
sub_0040A331 设置文件时间
sub_0040A889 查找是否包含某进程
sub_0040AAA1 得到特殊目录(如网上邻居和启动目录)
sub_0040AB9D 得到系统目录
sub_0040AD11 字符串解码
sub_0040B03D 设置注册表
sub_0040B54D 下载模块
sub_0040ca49 反IceSword模块
sub_0040c055 注册表模块
sub_0040D82D 远程插入explorer.exe
模块段:
0040EC49 - 0040ED20 针对瑞星的操作
0040F074 开始释放文件
0040BDEA - 0040C11F 修改注册表
下载的恶意程序:
http://qq.90356.com.cn/44gm/jhdqserver.exe
特征码:jtvr8/-ss.;2154,aoo,an-66go-hhfsqeptgr,gze
http://74.5460w.cn/yx/10.exe
特征码:jtvr8/-56.7640u,an-{z/32,ezg
3. Imes.dll:可以在system32下找到
sub_40DA56 下载文件执行
sub_40D8D2 打开”我的文档”窗口”,下载文件
sub_40E01E 如果explorer.exe关闭则重启,并向“IEFrame”发送msg
sub_40E406 下载文件
sub_40FB7E 新建window,操作注册表,设置host文件,下载文件,监视ati2avxx.exe
特征行为:
1. c:\windows\system32下释放imes.dll注入explorer;
2. C盘下释放autorun.inf
3. Explorer中的Imes.dll使用URLDownloadToFileA下载恶意软件
4. 修改(或添加)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
中的 [PendingFileRenameOperations] 项为\??\c:\windows\system32\moyulh.dll
\??\启动\ moyulh.exe 等病毒复制体
5. 添加HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 为
c:\windows\system32\ati2avxx.exe
6. 修改
HKU\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 为 1
杀毒方法:(使用GMER工具)
1.删除c:\windows\system32\ati2avv.exe
2.杀explorer进程并删除c:\windows\system32\imes.dll文件,并再次删除
c:\windows\system32\ati2avv.exe文件
3.删除c:\windows\system32\moyulh.exe , c:\windows\system32\moyulh.nls,
c:\windows\system32\moyulh.dll, c:\windows\system32\tgnhb.inf, c: \autorun.inf,
c: \tgnhb.exe
4.恢复注册表中带有atiavxx.exe,moyulh.dll,moyulh.exe的项
AutoRun原因:
1. 需要两次删除c:\windows\system32\ati2avv.exe(因为第一次杀的时候,很快被IMES.dll恢复了)
2. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
中的 [PendingFileRenameOperations] 造成开机时复制病毒到启动目录
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)