感染型病毒分析.doc

?、样本信息病毒名称: 文件名称: MD5 : ff5e1f27193ce51eec318714ef038bef SHA1 : b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6 二、关键?为创建互斥“ KyUffThOkYwRRtgPP ”投放文件并且运行“ C:\Program Files\Microsoft\ ”文件遍历方式感染全盘后缀为“.exe ”“.dll ”“.htm ”“.htm ”的文件写入 自动播放进行感染注入浏览器 进程,使用 Hook ZwWriteVirualMemory 方式来进行写入内存改变 EIP 执行劫持 winlogon 系统项的 userinit 来运行感染病毒母体连接 C&C 服务器为 443 端口,此为 HTTPS 访问端口,用来躲避行为检测连接 C&C 服务器 fget- 发送窃取数据三、样本运?流程此感染病毒共有 3 层打包,每层使用 UPX 加壳。第一层包装主要内存解密出 PE 文件,替换自身当前模块内存。第二层主要判断自身路径是否为“ C:\Program Files\Microsoft\ ”, 如果不是则拷贝自身母体至此目录下, 然后运行此程序。当判断本路径的是的话, 则通过注册表取系统自身浏览器路径, 内存解密出第三层模块 DLL, 通过 Hook ZwWriteVirtualMemory 注入到 进行执行。注入到 的 DLL 为此感染病毒核心代码,在入口处创建了 6 个线程,他们分别工作是 1. 每隔一秒判断 的 userinit 是否启动的是感染母体 :80 网站来进行取当前时间, 并且判断 3. 取感染时间保存到“ ” C&C 服务器” fget- ”,发送窃取的数据 5. 遍历全盘文件进行感染, 文件 6. 主要遍历驱动器根目录写 方式进行感染感染症状: 程序自身后面都多了一个名为. 的区段且每次打开被感染的程序,当前目录会有“母体名+ ” 文件会被添加以下内容被感染的 会被写入以下内容网络症状:四、详细分析 0x1. 第一层包装,主要内存解密出 PE 文件,替换自身当前模块内存我们先用查壳工具看看,显示是 UPX 加壳,我们载入 OD 可以看到入口是典型的 UPX 入口特征首先申请一个 0xF000 大小的空间,写入 shellcode ,这段 shellcode 进行再次进行申请内存,填充 PE 文件, 替换自身当前模块内存。 0x2. 第二层包装我们来到第二层包装后,也为 UPX 压缩,主要判断自身路径是否为“ C:\Program Files\Microsoft\ ”, 如果不是则拷贝自身母体至此目录下,然后运行此程序。运行 后, 首先会通过查询注册表路径””取得系统浏览器路径, 在取得系统浏览器 路径后,首先 Hook “ ZwWriteVirtualMemory ”在调用 CreateProcessA 函数来启动进程,当调用此函数的时候,就会进入到 Hook 的处理程序里面来,因为 CreateProcessA 是经过封装处理的,ZwWriteVirtualMemory 是其 CreateProcessA 的内部函数。这个 hook 处理程序首先会从自身内存中解密出一个 PE 文件,通过远程写内存函数写入到 进程当中,其中还会远程写入一段 shellcod e 代码给 内存 PE 文件进行初始化操作,大致就是申请内存---- 对齐区段--- 初始化导入表-- 修复重定位- 修复入口点等。 0x3. 第三层核心代码这层核心代码则为远程写入 的这段内存,实则为一个 DLL 文件通过使用查壳工具可以看到这个 DLL 名为” ”的文件这个 DLL 在入口一共创建了 6 个线程来进行工作,每个线程负责不同的恶意操作 1. 每隔一秒判断 的 userinit 是否启动的是感染母体 2. 访问:80 网站来进行取当前时间, 并且判断 3. 取感染时间保存到