-
-
[原创]rmnet蠕虫病毒分析记录及花絮
-
发表于: 2017-1-20 16:17 60711
-
最近几天机器被入侵,收集到一个感染类的蠕虫病毒,除Windows目录和System32目录以外,全盘感染exe、dll、html、htm文件,感染可移动设备、以实现传播。
基本功能是通过Inline Hook ZwWriteVirtualMemory函数,然后调用CreateProcess启动IE浏览器,CreateProcess内部会调用ZwWriteVirtualMemory函数,从而实现注入DLL文件到IE中,达到恶意程序不落地的目的,逆向出来后的代码逻辑发现,该Hook部分和论坛里《感染型病毒编程实现,有源码》http://bbs.pediy.com/showthread.php?t=185804的原理编程逻辑与风格很相似,不知道蠕虫的作者是不是受此启发。
机器内出现淘宝刷流量、3389密码爆破等工具,使该被黑的服务器作为跳板继续攻击其他服务器,对开放3389端口的机器进行扫描,截止到被发现的时候,已经成功爆破出一个服务器107.151.*.*,该服务器上都是放置的图标都是远控木马服务端,但是暂时不清楚为什么桌面上生成这么多的木马控制端,名字不同,MD5一样,拷贝出来后粗略分析一下(不是接下来分析的rmnet样本),exe文件运行的时候解密程序的真实入口点,在临时文件夹下释放一个随机名的dll文件(使用BC++编写),然后注入到explore进程中,实现木马的远控功能。
分析后,在网上搜了一下rmnet关键字,发现该蠕虫曾经以各种小工具的形式在互联网上传播http://tav.qq.com/index/newsDetail/187.html(腾讯反病毒实验室的报告)。后来在看雪论坛里也看到坛友被相关蠕虫感染的帖子,(http://bbs.pediy.com/showthread.php?t=202716)(http://bbs.pediy.com/showthread.php?t=205767)。
赛门铁克开发了一款专门针对此蠕虫的专杀工具。
这里记录一下自己的分析过程。
样本、dump、以及详细报告见附件
rmnet蠕虫分析记录.pdf
样本.zip