1.樣本概況
1.1 樣本信息
病毒名稱:3601.exe
MD5值:96043b8dcc7a977b16a2892c4b38d87f
病毒行為:
自刪除,感染壓縮包(zip、rar)、釋放lpk.dll文件
1.2 測試環(huán)境及工具
操作系統(tǒng):win7 32位
操作工具火絨劍、OD、IDA、MD5工具
1.3 分析目標(biāo)
分析此病毒的惡意行為和生成相關(guān)文件。
2.具體行為分析
2.1 主要行為
病毒首先使用RegOpenKeyExW函數(shù)讀取注冊表中【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\Ghijkl Nopqrstu Wxy】
這個鍵項;如果鍵項不存在,則創(chuàng)建病毒的系統(tǒng)服務(wù),流程圖大體如下:
有【Ghijkl Nopqrstu Wxy】這個鍵項的時候,病毒的行為流程圖如下:
如果鍵項存在則進(jìn)入一個創(chuàng)建服務(wù)的函數(shù),做了以下4個步驟:
1、檢查互斥體,防止多開;
2、釋放、加載資源文件C:\windows\system32\hra33.dll;
3、開啟四個線程(IPC$破解、收集主機操作系統(tǒng)與網(wǎng)絡(luò)信息、CPU字符串和主頻率描述)其中線程A是用于IPC$密碼破解,感染同局域網(wǎng)內(nèi)其他主機。線程B、線程C、線程D功能一致,連接的域名不一樣。
感染模塊操作
2.1.1 惡意程序?qū)τ脩粼斐傻奈:?圖)
在rar、zip、exe中釋放一個lpk.dll的文件,運行exe后加載病毒程序
圖1感染壓縮包
圖2 有exe的目錄下釋放lpk.dll
2.1.2 惡意程序在系統(tǒng)中生成的文件
(1)權(quán)限相關(guān)()
1.創(chuàng)建服務(wù)
圖3 創(chuàng)建的服務(wù)名
2.生成文件
圖4 生成的病毒exe
圖5 生成的病毒DLL
3.創(chuàng)建注冊表
圖6 注冊表所增加的注冊表鍵值
(2)服務(wù)/廣播
| 連接域名 |
1
|
sbcq.f3322.org |
| 2 |
www.520123.xyz |
| 3 |
(加密)www.520520520.org:9426 |
2.2 惡意代碼分析
2.2.1 加固后的惡意代碼樹結(jié)構(gòu)圖
1.使用PEID檢查出病毒程序采用upx殼壓縮
圖7 PEID查殼為upx
2.連接域名使用base64加密
圖8 連接域名為base64加密
2.2.2 惡意程序的代碼分析片段
病毒首先使用RegOpenKeyExW函數(shù)讀取注冊表中有沒有【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\ GhijklNopqrstu Wxy】這個鍵項;
圖9 判斷鍵項-OD反匯編代碼注釋
如果沒有這個鍵項的時候則進(jìn)入一個創(chuàng)建服務(wù)的函數(shù),做了以下4個步驟:
1、復(fù)制自身到C:\\windows;
2、將【C:\\windows\\隨機文件名.exe】注冊服務(wù);
3、創(chuàng)建注冊表鍵項;
4、刪除自身處理;獲取當(dāng)前exe運行路徑隨機生成一個隨機文件名,復(fù)制自身到C:\\windows目錄下,如:"C:\Windows\jkfukc.exe",代碼片段如下:
圖10 IDA-復(fù)制自身到C:\\windows
圖11 OD反匯編-堆棧窗口-隨機生成文件名
將生成的文件作為系統(tǒng)服務(wù)對象創(chuàng)建,系統(tǒng)服務(wù)名為【GhijklmnPqrstuvwx Abcdefg Ijklmnop Rst】,代碼片段如下:
圖12 IDA偽C代碼-創(chuàng)建系統(tǒng)服務(wù)
檢查病毒是否已經(jīng)在機器上運行過,創(chuàng)建注冊表鍵項:【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\GhijklNopqrstu Wxy】
圖13 IDA偽C代碼-創(chuàng)建注冊表鍵項
病毒運行后會做刪除自身的處理,首先獲取當(dāng)前進(jìn)程路徑、文件短路徑、CMD.exe路徑。用shellexecute()函數(shù)刪除自身。然后設(shè)置進(jìn)程的執(zhí)行級別使自身有足夠的時間從內(nèi)存中退出。
圖14 IDA偽C代碼-刪除自身
如果鍵項存在則進(jìn)入一個創(chuàng)建服務(wù)的函數(shù),做了以下步驟:
1、檢查互斥體,防止多開;
2、釋放、加載資源文件C:\windows\system32\hra33.dll;
3、開啟三個線程(IPC$破解、收集主機操作系統(tǒng)與網(wǎng)絡(luò)信息、CPU字符串和主頻率描述) 檢查互斥體Ghijkl Nopqrstu Wxy是否存在,如果已經(jīng)存在時退出程序;183對應(yīng)著宏定義ERROR_ALREADY_EXISTX。然后釋放自定義資源,將自定義資源命名為hra33.dll。
圖15 檢查互斥體與釋放自定義資源
釋放自定義資源文件hra33.dll 到C:\windows\system32\hra33.dll,改寫文件的PE頭,讓其成為PE文件。代碼片段如下:
圖16 釋放自定義資源,改寫PE頭為MZ
創(chuàng)建了四個線程,分別命名為線程A、線程B、線程C、線程D。代碼片段如下:
圖17 創(chuàng)建四個線程
線程A通過IPC$共享用內(nèi)置的弱口令字典破解感染同局域網(wǎng)內(nèi)其他主機。將自身復(fù)制到其他主機的共享后,使用at(定制計劃任務(wù))的方式執(zhí)行。
圖18 IPC$破解
線程B、線程C、線程D功能大體一致,連接的域名不一樣。獲取操作系統(tǒng)版本號、 CPU字符串和主頻描述、內(nèi)存、網(wǎng)絡(luò)流量信息創(chuàng)建套接字發(fā)送給控制端,然后等待接收控制端發(fā)過來的指令,執(zhí)行相關(guān)的操作。
| 主要功能 |
| 1)連接域名 |
| 2)獲取操作系統(tǒng)版本號、 CPU字符串和主頻描述 |
| 3)實現(xiàn)功能-(下載文件、更新服務(wù)端、打開網(wǎng)頁) |
線程B 進(jìn)入回調(diào)函數(shù)后,首先進(jìn)入連接域名函數(shù),創(chuàng)建網(wǎng)絡(luò)套接字后所連接的域名為:sbcq.f3322.org,代碼片段如下:
圖19 IDA偽c代碼-創(chuàng)建網(wǎng)絡(luò)套接字連接sbcq.f3322.org
當(dāng)連接域名成功,代碼向下執(zhí)行會調(diào)用搜集操作系統(tǒng)信息的函數(shù),加載hra33.dll。
圖20 OD反匯編代碼-調(diào)用搜集操作系統(tǒng)信息函數(shù)
使用GetVersionExA()函數(shù)獲取操作系統(tǒng)版本號、 CPU字符串和主頻描述的代碼片段如下:
圖21 IDA偽C代碼-獲取操作系統(tǒng)版本號
圖22 IDA偽C代碼-獲取CPU字符串和主頻描述
利用Send()函數(shù)發(fā)送消息通知控制端已經(jīng)加載hra33.dll成功,代碼片段如下:
圖23 IDA偽C代碼-加載hra33.dll后發(fā)送0XB0給控制端
根據(jù)控制端傳送過來的命令執(zhí)行相關(guān)的操作。定義了URLDownloadToFileA()、winexec()函數(shù),會下載指定url的文件保存到本地中。實現(xiàn)了下載自定義文件的功能。代碼片段如下:
圖24 定義UrlDownloadToFileA函數(shù)
當(dāng)接收的參數(shù)大于6個字節(jié)時,接收到的值等于0x10,從接收到的URL地址處下載文件保存到本地的臨時目錄,文件名由GetTickCount()函數(shù)隨機生成,代碼片段如下:
圖25 接收命令執(zhí)行下載文件
接收到的值等于0x12時候,創(chuàng)建互斥體【Ghijkl Nopqrstu Wxy】,隨機生成文件名。把控制端發(fā)送過來的url地址下載保持成本地文件,關(guān)閉病毒創(chuàng)建的名稱為【Ghijkl Nopqrstu Wxy】服務(wù),刪除注冊表【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy 】鍵項,刪除病毒進(jìn)程的文件自身。將新的文件重新注冊成為系統(tǒng)服務(wù)。初步判斷這是一個更新自身服務(wù)端的功能。代碼片段如下:
圖26 下載新的病毒文件
圖 27 刪除原有的服務(wù)和注冊表
接收到0x14的命令時調(diào)用ShellExecute函數(shù)將控制端發(fā)送過來的控制數(shù)據(jù)作為IE程序的指定啟動參數(shù),打開iexplore.exe進(jìn)程。
圖28 IDA偽C代碼-自帶IE打開網(wǎng)頁
其他參數(shù)還接收了0x2、0x3、0x4、0x5,其中0x2/0x4/0x5未發(fā)現(xiàn)有實質(zhì)的操作,接收到0x3的控制指令后,線程的作用是利用文件路徑C:\WINDOWS\system32\ProgramFiles\Internet Explorer\iexplore.exe下的iexplore.exe程序向網(wǎng)址發(fā)送GET形式的Http數(shù)據(jù)請求包。代碼片段如下:
圖29 接收命令參數(shù)
圖30 發(fā)送GET形式的Http數(shù)據(jù)請求包
線程C的功能與線程B大體一致,連接的域名為:
圖31 連接域名www.520123.xyz
線程D的連接域名使用了加密函數(shù)。
圖32 IDA偽C代碼-線程D加密函數(shù)
在OD載入后動態(tài)執(zhí)行時結(jié)果被解密出來。
圖33 OD反匯編代碼-連接域名www.520520520.org:9426
Hra33.dll功能是通過加載lpk.dll對其他exe和壓縮包進(jìn)行感染。代碼片段如下:
圖34 hra33.dll入口點函數(shù)
遍歷文件目錄,如果找到.exe的目錄就把lpk.dll放到該目錄下。代碼片段如下:
圖35 感染函數(shù)
感染zip/rar的方式主要還是利用winrar.rar的rar.exe(命令行工具),首先搜索壓縮包內(nèi)有沒有l(wèi)pk.dll這個文件,然后如果有.exe,就將壓縮包重新解壓添加lpk.dll文件再壓縮。代碼片段如下:
圖36 感染壓縮文件
3.解決方案
3.1 提取病毒的特征,利用殺毒軟件查殺
【Ghijkl Nopqrstu Wxy】對應(yīng)hex 【4768696A6B6C204E6F70717273747520577879】
3.2 手工查殺步驟或是工具查殺步驟或是查殺思路等。
1、停止【Ghijkl Nopqrstu Wxy】名稱的服務(wù)
2、刪除【Ghijkl Nopqrstu Wxy】鍵項的注冊表
3、刪除【C:\windows\system32\hra33.dll】文件
4、清空除了C:\windows\system32\lpk.dll外,所有zip、rar、exe下的lpk.dll文件
黑客交流通常用IDA就夠了。。
這是IDA的分析文件和OD注釋文件,還有提取出來的hra33.dll
 3601_unpack_(52pojie).rar (273.03 KB, 下載次數(shù): 2)
| 
