-
-
[原创]小蠕虫简单分析
-
发表于: 2014-4-18 13:47
-
这个病毒样本,功能包括可移动磁盘感染,消耗系统资源,建立网络连接,设置后门,较好的隐藏性。此外还包含了反调试,垃圾代码等等。只是简单的分析一下,共同学习
。
1.我们看到有一个快捷方式
,右键属性我们可以看到该快捷方式目标指向了C:\WINDOWS\system32\rundll32.exe _WZGQRSTIWGA.init,crys nucjqyfmtbnuttgt fmtbipxelsahovdkrzgnucjm,意思是运行这个“_WZGQRSTIWGA.init”DLL,从crys函数开始运行。
2.而“_WZGQRSTIWGA.init”这个DLL的功能先解密获得”desktop.ini”字符串,然后运行没有名称的文件夹,然后VirtualAlloc了0x1000字节的空间,把desktop.ini中的内容读到内存空间然后call到了那个内存地址,开始执行desktop.ini中的代码。
3.Desktop.ini前面是一大堆的90,也就是nop。
到0x0000041D处call了一个函数,后面就是一大堆的垃圾代码。
函数前一部分是init,加载动态链接库,0x00000F7B处又call一个函数,这个函数是建立互斥体,在C盘创建Temp文件夹,从"http://suckmycocklameavindustry.in/"下载文件Thumbs.db,
Thumbs.db经过下面一系列解密,在Temp文件下创建了名为”TrustedInstaller.exe”的隐藏exe可执行文件,并执行。
4.在这里作者用了一些反调试技巧,CloseHandle()传入一个无效的句柄,如果动态调试的话,程序会跑飞,RegCloseKey()传入一个无效的hKey程序同样会跑飞,这里我们可以nop这几
句话即可。
5.我们看到下列代码,函数前面应该是垃圾代码,没有什么作用,前三个函数,做了一些初始化,解码,把资源文件的资源转换成字符串,就构成了第四个函数LoadLibrary的参数,加载DLL,获得程序运行所需函数地址。
6.程序的主要功能在最后一个ThreadProcFun中进行。
在ThreadProcFun中的DecodeResAndWirteToAlloc中把资源文件写入到申请的堆空间中。
7.然后解码,完成后发现是个EXE文件,写入的刚刚挂起的进程里,然后恢复进程。
我提前出来exe文件(我命名为00A90000.mem),其功能就是释放一个exe文件并执行,判断是否有avp.exe进程,有的话该exe文件创建到C:\Documents and Settings\All Users\Local Settings\Temp\aervspvt.exe(文件名一定随机),无的话创建到%temp%/_install_/msiexec.exe。用16进制编辑器我们可以看到其实上一步我们踢球出来的exe捆绑了另一个exe,搜索MZ发现有2处PE文件开头。
8.下一步是写入注册表,把自身拷贝一份到临时目录,读取二进制,经过加密,写入到HKEY_USERS\SOFTWARE 键名为ImageBase。把物理地址为3:9310的地方的加密数据写入到HKEY_LOCAL_MACHINE\SOFTWARE\Miciosoft 键名为00E35EE,写入大小为0x719F。
9.其中msixec.exe中的代码和TrustedInstaller.exe是一致的,只是资源文件不同,我把这个释放的exe称为0015000.exe。它的功能就是申请一块空间,解码,执行解码后的代码,疑是判断是否在虚拟机运行。我把它提出来,命名为SetEnvironmentAndWinSock,主要功能就是设置环境变量为自己释放的svchost.exe,设置自启动注册表键名为SunJavaUpadtaeSched。
10.网络连接,建立隐藏的CMD,用accept接受数据,用来控制攻击者控制。此外还包含了关闭UAC,关闭防火墙提示等等。
在0015000.exe中,病毒根据判断是否在调试中或者运行在虚拟环境下,进行不同的操作,如果在真机中运行,则会打开注册表,遍历HKEY_LOCAL_MACHINE\system\currentcontrolset\services\disk\enum.这里应该是遍历可移动磁盘,然后感染U盘。
现在分析的还不全面,以后会补上的
解决方法:关闭TrustedInstaller.exe进程,关闭msiexec.exe进程,关闭scvhost.exe病毒进程,sha删除%TEMP%文件夹下的_Install_,删除\scvhost.exe,删除C:\Temp文件夹,删除可移动磁盘中病毒文件,删除C:\Documents and Settings\Administrator、清空Internet历史记录,删除上面所述几个注册表项。
。1.我们看到有一个快捷方式
2.而“_WZGQRSTIWGA.init”这个DLL的功能先解密获得”desktop.ini”字符串,然后运行没有名称的文件夹,然后VirtualAlloc了0x1000字节的空间,把desktop.ini中的内容读到内存空间然后call到了那个内存地址,开始执行desktop.ini中的代码。
3.Desktop.ini前面是一大堆的90,也就是nop。
到0x0000041D处call了一个函数,后面就是一大堆的垃圾代码。
函数前一部分是init,加载动态链接库,0x00000F7B处又call一个函数,这个函数是建立互斥体,在C盘创建Temp文件夹,从"http://suckmycocklameavindustry.in/"下载文件Thumbs.db,
Thumbs.db经过下面一系列解密,在Temp文件下创建了名为”TrustedInstaller.exe”的隐藏exe可执行文件,并执行。
4.在这里作者用了一些反调试技巧,CloseHandle()传入一个无效的句柄,如果动态调试的话,程序会跑飞,RegCloseKey()传入一个无效的hKey程序同样会跑飞,这里我们可以nop这几
句话即可。
5.我们看到下列代码,函数前面应该是垃圾代码,没有什么作用,前三个函数,做了一些初始化,解码,把资源文件的资源转换成字符串,就构成了第四个函数LoadLibrary的参数,加载DLL,获得程序运行所需函数地址。
6.程序的主要功能在最后一个ThreadProcFun中进行。
在ThreadProcFun中的DecodeResAndWirteToAlloc中把资源文件写入到申请的堆空间中。
7.然后解码,完成后发现是个EXE文件,写入的刚刚挂起的进程里,然后恢复进程。
我提前出来exe文件(我命名为00A90000.mem),其功能就是释放一个exe文件并执行,判断是否有avp.exe进程,有的话该exe文件创建到C:\Documents and Settings\All Users\Local Settings\Temp\aervspvt.exe(文件名一定随机),无的话创建到%temp%/_install_/msiexec.exe。用16进制编辑器我们可以看到其实上一步我们踢球出来的exe捆绑了另一个exe,搜索MZ发现有2处PE文件开头。
8.下一步是写入注册表,把自身拷贝一份到临时目录,读取二进制,经过加密,写入到HKEY_USERS\SOFTWARE 键名为ImageBase。把物理地址为3:9310的地方的加密数据写入到HKEY_LOCAL_MACHINE\SOFTWARE\Miciosoft 键名为00E35EE,写入大小为0x719F。
9.其中msixec.exe中的代码和TrustedInstaller.exe是一致的,只是资源文件不同,我把这个释放的exe称为0015000.exe。它的功能就是申请一块空间,解码,执行解码后的代码,疑是判断是否在虚拟机运行。我把它提出来,命名为SetEnvironmentAndWinSock,主要功能就是设置环境变量为自己释放的svchost.exe,设置自启动注册表键名为SunJavaUpadtaeSched。
10.网络连接,建立隐藏的CMD,用accept接受数据,用来控制攻击者控制。此外还包含了关闭UAC,关闭防火墙提示等等。
在0015000.exe中,病毒根据判断是否在调试中或者运行在虚拟环境下,进行不同的操作,如果在真机中运行,则会打开注册表,遍历HKEY_LOCAL_MACHINE\system\currentcontrolset\services\disk\enum.这里应该是遍历可移动磁盘,然后感染U盘。
现在分析的还不全面,以后会补上的
解决方法:关闭TrustedInstaller.exe进程,关闭msiexec.exe进程,关闭scvhost.exe病毒进程,sha删除%TEMP%文件夹下的_Install_,删除\scvhost.exe,删除C:\Temp文件夹,删除可移动磁盘中病毒文件,删除C:\Documents and Settings\Administrator、清空Internet历史记录,删除上面所述几个注册表项。
[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!
|
|
|---|---|
|
|
|
|
|
|
|
|
好像是先关闭UAC吧
|
|
|
|
