一个简单word病毒行为跟踪分析
本帖最后由 kangkai 于 2013-9-13 19:41 编辑//Author: kangkai
//Date: 2013年8月22日
//Email: jxpenghu@sohu.com
文件:C:\Documents and Settings\Administrator\桌面\6845288e2be0be1adbc3a3d4c6aaaa63_445b000a.doc 大小: 499744 字节修改时间: 2013年6月11日, 8:36:24MD5: 6845288E2BE0BE1ADBC3A3D4C6AAAA63SHA1:83C0D54DCC948F0C91907DB8FA69CE776CBDD6B2CRC32: 8C9830DE
level: 70sub_level: 2Extinfo: 无src: 0malware: Win32/Trojan.Exploit.610class: 漏洞溢出病毒flag: 0 Mid: 是否在启动项:查询异常或者状态未知查询量:
1 运行病毒文件之前,先运行监控文件procmom.exe 2 双击运行病毒文件,打开之后,在我的虚拟机中看到的是一篇俄文的文档
通过procmon.exe知道其监控的PID号为544,我们用过滤器过滤至544,
发现会在C盘根目录下创建文件
增加“写入文件”的规则条件之后,会发现,WINWORD.EXE释放了很多临时文件,关键是在临时文件区创建了一个临时文件
我再来看一下这个临时文件时,我们见过滤器切换至进程启动,会发现启动了cmd.exe,右击属性可见父PID为2052,即WINWORD.EXE
可以看到winword.exe调用cmd.exe打开了6845288e2be0be1adbc3a3d4c6aaaa63_445b000a.doc,从而创建了临时文件。
我们再来看一下临时文件的作用吧,将规则添加至临时文件PID172,可以看到临时文件进行了一系列的动作,尤其是创建了文件的操作
可以看到往系统目录下写入了临时文件,同时也在临时文件下写入了三个临时文件和非临时文件等,可以大胆的假设会有文件开机启动,我们将规则添加注册表
同时还有发现添加了一个启动项HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RTHDCPL1
通过md5工具校验,发现amstreamx.tmp的md5值和psrass.exe的md5值相同,可以肯定,两者为同一文件。tmp.tmp通过将amstreamx.tmp 重命名后,添加开机启动!
要下班了,再不走就来不及了,最后开机启动就没有截图了。sorry
由于procmion.exe崩溃了,所有PID有多不同。
因为我的虚拟机装有冰点还原,就不对psrass.exe 的行为继续进行跟踪了。应该来说,这个病毒的主要功能还是在psrass.exe,有时间在分析分析psrass.exe吧!
本人菜鸟一枚,能力一般,如有不对之处,请见谅。在这非常感谢willJ对我的指导。@willJ
下面内容是瑞星网上,资讯安全栏目的内容。接着楼主的内容如下:
至此,我们分析了temp.tmp的主要一些行为,既然有写入启动项,那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为,当然要重启电脑,在重启电脑前,为了更好地观察到重启之后病毒的一些行为,我们设置一下processmonitor工具,使用启用启动日志,具体设置方法如图24所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/24.jpg图24:勾选processmonitor工具的启用启动日志勾选此项后,processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示,勾选这项后,在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示,会详细记录下重启电脑到开机启动的一些程序行为,当然也包括我们的想要看到的psrass.exe的行为。
http://www.rising.com.cn/d/file/newsletter/news/20130724/25.jpg图25:勾选启用启动日志时processmonitor弹出的提示当我们重启电脑后,再次运行processmonitor工具就会提示是否保存启动时间活动日志,如图26所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/26.jpg图26:重启电脑再次运行processmonitor弹出保存日志提示我们根据提示点击“是”来保存收集的数据,保存成功后processmonitor会自动将所有收集的数据都列出来,接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912,设置pid为1912的过滤规则,processmonitor列出所有psrass.exe的行为,如图27所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/27.jpg图27:启用启动日志时processmonitor监测到的psrass.exe病毒行为我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作,看来这个psrass.exe会收集磁盘数据,我们截取了部分processmonitor监测到的psrass.exe查询操作记录,如图28所示,由于内容较多就不一一截图了。
http://www.rising.com.cn/d/file/newsletter/news/20130724/28.jpg图28:psrass.exe查询C:\Program Files目录数据在所有的查询操作完毕之后,psrass.exe会创建C:\Documents and Settings\Administrator\Local Settings\Temp\desktopc.ini文件,psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中,如图29所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/29.jpg图29:psrass.exe向系统临时文件夹写入desktopc.ini文件我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些,如图30所示,desktopc.ini文件内容被加密了,我们使用winhex工具打开这个被加密的文件,字符串的内容还是加密的。hex显示区内容有很多C3,如图31所示,有可能是XOR C3,我们尝试解密一下,在选中所有内容后右键点击Edit---Modify Data,在XOR出填写C3,如图32所示,点击确定后,我们在字符串区域看到了能够识别出的字符内容,如图33所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/30.jpg图30:desktopc.ini文件内容http://www.rising.com.cn/d/file/newsletter/news/20130724/31.jpg图31:winhex打开加密的desktopc.ini文件http://www.rising.com.cn/d/file/newsletter/news/20130724/32.jpg图32:解密加密内容填写异或值C3http://www.rising.com.cn/d/file/newsletter/news/20130724/33.jpg图33:解密后desktopc.ini文件内容我们可以使用winhex的导出功能将解密后的文件保存到txt文档中,就可以清楚地看出解密后的内容,如图34所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/34.jpg图34:psrass.exe会收集磁盘文件的大小,如红框中的pagefile.sys(786432K)我们来验证一下解密后结果,是否和我们本机磁盘的pagefile.sys大小一样,如图35所示,果然一样。
http://www.rising.com.cn/d/file/newsletter/news/20130724/35.jpg图35:pagefile.sys大小同病毒写入desktopc.ini文件内容我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分,进一步分析,我们发现psrass.exe会调用系统cmd命令去运行C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~MV1DFG78.tmp,如图36所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/36.jpg图36:cmd.exe进程启动我们右击图36红框中的那条记录,点击属性进行查看,如图37所示,我们看到cmd.exe的父进程pid为1912也就是psrass.exe。
http://www.rising.com.cn/d/file/newsletter/news/20130724/37.jpg图37:cmd.exe父进程pid为1912,即psrass.exe点击图37的事件属性的进程标签,我们可以看到cmd命令行内容,如图38所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/38.jpg图38:psrass.exe调用cmd运行~MV1DFG78.tmp~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件,接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe,发现原来~MV1DFG78.tmp是一个应用程序,如图39所示,直接双击运行一下,原来~MV1DFG78.tmp是一个Mail Passview工具,如图40所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/39.jpg图39:修改~MV1DFG78.tmp为~MV1DFG78.exehttp://www.rising.com.cn/d/file/newsletter/news/20130724/40.jpg图40:~MV1DFG78.exe运行截图我们大胆猜想一下,之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢?答案毋庸置疑,如图41所示,我们将~WV3ECD59.tmp修改为~WV3ECD59.exe,直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具,如图42所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/41.jpg图41:修改~WV3ECD59.tmp为~WV3ECD59.exehttp://www.rising.com.cn/d/file/newsletter/news/20130724/42.jpg图42:~WV3ECD59.exe运行截图不用说,~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的,如图43所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/43.jpg图43:psrass.exe调用cmd运行~WV3ECD59.tmp到这里大家可能会有疑惑,我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处,释放了两个正常的mail账户信息和浏览器账户信息查看工具,利用这两个工具来查看本地相关账户信息,将查找的账户信息写入加密的配置文件,之后再发送到指定的黑客服务器上,从而达到盗号的目的。
最后简单说一下这个病毒处理,病毒处理起来比较简单,病毒文件都在系统临时文件夹目录下,我们直接使用xuetr工具的强制删除功能,将所有病毒文件删除即可,如图44所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/44.jpg图44:使用xuetr强制删除病毒文件再将病毒写入的启动项信息删除即可,如图45所示。
http://www.rising.com.cn/d/file/newsletter/news/20130724/45.jpg图45:删除病毒启动项信息 病毒样本在哪{:17_1068:} 希望后期增加对样本本身的分析,监控工具作为辅助
找到这个样本溢出点分析,我觉得这个更不错哦
LZ这种坚持的精神很值得鼓励,加油 行为跟踪。 好样的。 分析的真棒, "hex显示区内容有很多C3,如图31所示,有可能是XOR C3",这个思路不错。 感谢楼主,非常详细的行为分析
页:
[1]