首页
社区
课程
招聘
[原创]一枚worm.autorun病毒分析
发表于: 2012-8-5 16:23 8404

[原创]一枚worm.autorun病毒分析

2012-8-5 16:23
8404

这是一个很新鲜的样本,感染数量已过万,而且很难去除。
分析之后,发现这个病毒的在2010就曾在网络上出现,一直进化到现在,相信autorun的方式也是与时俱进。网上没有有效的杀毒方法。你可以在虚拟机中亲自感染一下,然后再跟随分析一步步深入它。
从这篇文章中,做木马的童鞋可以学到新的免杀技巧,自启动方式;搞AV的童鞋可以直接根据我提到的杀毒步骤制作pattern。

先感染一下,症状如下:
1.        进程中有ati2avxx.exe,杀进程后马上复活
2.        文件夹选项中,“显示隐藏文件”消失
3.        Ati2avxx.exe开机启动,用杀毒软件杀不掉
4.        如果插上U盘,会出现 “女友写真.exe” 等病毒程序
5.        用GMER看explorer的进程,可以看到IMES.dll加载的痕迹。

详细分析:
1.        查壳,脱壳(脱壳后的病毒母体与dll文件见附件)
用PEID查不到壳,看到”upack”字段,认定为upack壳,脱壳后按照根据调用规则,可以判断是Delphi编写。
至于脱壳过程,我是用手工脱的,自我感觉很复杂,很无趣,在此略过。

2.        ati2avxx.exe分析
你可以用GMER在system32目录下找到它。
用OD加载脱壳后的程序,就可以开始真正的分析了~
为了防止跑飞,先下断CreateFileW,ZwWriteFile,WinExec,RegSetValueA,由于是用Delphi编写,看上去比C语言讨厌多了。逆向的时候,你需要记录一下经常出现的函数,来加速分析。当然,你会想到参考DeDe的分析结果,我只能说网上分享的DeDe版本太老,用来分析高版本Delphi明显力不从心。最新的IDA会对delphi有更高的识别,用IDA加载,将识别出的函数补充在OD里,加速分析。

  在单步跟踪时,需要区分delphi api,还是自己实现的函数。记录那些经常被调用的函数,下次碰到的时候,步过即可。
可以直接不过的函数:
sub_0040450d
sub_004045C1
sub_00406b69

sub_00404395 GetComputerName
sub_0040440D连接字符串
sub_00404481 解码出要释放的文件路径
sub_00407EA1得到时间
sub_0040A1D5 得到文件的size
sub_0040A331 设置文件时间
sub_0040A889 查找是否包含某进程
sub_0040AAA1 得到特殊目录(如网上邻居和启动目录)
sub_0040AB9D 得到系统目录
sub_0040AD11 字符串解码
sub_0040B03D 设置注册表
sub_0040B54D 下载模块
sub_0040ca49  反IceSword模块
sub_0040c055  注册表模块
sub_0040D82D 远程插入explorer.exe

模块段:
0040EC49 - 0040ED20 针对瑞星的操作
0040F074  开始释放文件
0040BDEA - 0040C11F 修改注册表

下载的恶意程序:
http://qq.90356.com.cn/44gm/jhdqserver.exe
特征码:jtvr8/-ss.;2154,aoo,an-66go-hhfsqeptgr,gze
http://74.5460w.cn/yx/10.exe
特征码:jtvr8/-56.7640u,an-{z/32,ezg

3.        Imes.dll:可以在system32下找到
sub_40DA56   下载文件执行
sub_40D8D2   打开”我的文档”窗口”,下载文件
sub_40E01E    如果explorer.exe关闭则重启,并向“IEFrame”发送msg
sub_40E406   下载文件
sub_40FB7E    新建window,操作注册表,设置host文件,下载文件,监视ati2avxx.exe

特征行为:
1.        c:\windows\system32下释放imes.dll注入explorer;
2.        C盘下释放autorun.inf
3.        Explorer中的Imes.dll使用URLDownloadToFileA下载恶意软件
4.        修改(或添加)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
中的  [PendingFileRenameOperations] 项为\??\c:\windows\system32\moyulh.dll
\??\启动\ moyulh.exe 等病毒复制体
5.        添加HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 为
c:\windows\system32\ati2avxx.exe
6.        修改
HKU\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 为 1

杀毒方法:(使用GMER工具)
1.删除c:\windows\system32\ati2avv.exe
2.杀explorer进程并删除c:\windows\system32\imes.dll文件,并再次删除
c:\windows\system32\ati2avv.exe文件
3.删除c:\windows\system32\moyulh.exe , c:\windows\system32\moyulh.nls,
c:\windows\system32\moyulh.dll, c:\windows\system32\tgnhb.inf, c: \autorun.inf,
c: \tgnhb.exe
4.恢复注册表中带有atiavxx.exe,moyulh.dll,moyulh.exe的项

AutoRun原因:
1.        需要两次删除c:\windows\system32\ati2avv.exe(因为第一次杀的时候,很快被IMES.dll恢复了)
2.        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
中的  [PendingFileRenameOperations] 造成开机时复制病毒到启动目录


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (5)
雪    币: 589
活跃值: (61)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
楼主,样本呢?多谢
2012-8-8 15:10
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
3
看看特征行为:
特征行为:
1.  c:\windows\system32下释放imes.dll注入explorer;
2.  C盘下释放autorun.inf
3.  Explorer中的Imes.dll使用URLDownloadToFileA下载恶意软件
4.  修改(或添加)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
中的  [PendingFileRenameOperations] 项为\??\c:\windows\system32\moyulh.dll
\??\启动\ moyulh.exe 等病毒复制体
5.  添加HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 为
c:\windows\system32\ati2avxx.exe
6.  修改
HKU\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 为 1

木有哪一项 在win7 下 不敏感 ,这马得有多老了 呵呵
2012-8-8 15:35
0
雪    币: 151
活跃值: (70)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
4
08年就出现了此类样本,主要是分析下“autorun”的方法
2012-8-9 11:37
0
雪    币: 589
活跃值: (61)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主,压缩包解压密码???
2012-8-9 15:30
0
雪    币: 589
活跃值: (61)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
搞出来了,virus
2012-8-9 15:46
0
游客
登录 | 注册 方可回帖
返回
//