对学校打印店U盘病毒的简单分析
今天去学校打印店打印,插上U盘之后,瞬间不好的事情就发生了:1、U盘里面只剩下一个MyDocuments.exe,伪装成文件夹图标
2、所有的文件都没了……被放到了一个隐藏的系统文件夹里面。
于是只好淡定地打印完之后,回来开始分析这个MyDocuments.exe,看看到底干了些什么……
首先用PEID侦壳:
加了UPX壳,压力不大……小心翼翼扔到OD里面脱壳,使用ESP定律,找到OEP:
用LoadPE dump程序,用ImportREC进行修复转存文件:
然后脱壳完成,是VC6的程序:
1、时间触发的后门分析
接下来把脱壳后的程序扔到IDA里面F5看算法, main函数的前半部分功能:
其中关键后门函数在sub_401150:
这里可以看到,病毒首先取了本地日期进行了判断,如果日期在2011年4月1日到2011年5月1日之间【好老的病毒,汗……】,则会触发后门,执行sub_4010A0函数,并且在1个小时之后强制重启电脑。
那么再看看sub_4010A0:
发现其对盘符:CDEFGHIJK,进行了遍历操作,并且利用GetDriveTypeA获取磁盘类型,如果是3(DRIVE_FIXED),即固定硬盘,触发400次sub_401000函数,以盘符和计数器做参数,主要代码:
wsprintfA(&FileName, "%c:\\%d", a1, a2);
v2 = CreateFileA(&FileName, 0x10000000u, 0, 0, 1u, 6u, 0);
SetFilePointer(v2, 0xC800000, 0, 0);
这里会把盘符和计数器进行组合文件名,生成200MB大小的系统文件填充磁盘,如果400个的话就是……每个磁盘填充400*200MB=78.125GB的垃圾文件……【好吧……真无聊……】
2、自启动分析
后门分析完毕,接下来看看如何完成的程序自启动。上面对程序MyDocuments.exe所在运行路径使用GetCurrentDirectoryA进行了获取,并使用GetDriveTypeA获取磁盘类型,如果是固定硬盘:
首先在当前盘符的Program files目录下,将程序平行目录下的WINLOGON.EXE拷贝到C:\\Program Files\\Internet Explorer\\WINLOGON.exe,其中还调用了sub_4012C0、sub_4011E0、sub_4012A0和sub_401580四个函数,其中前三个和自启动有关:
sub_4012C0,判断C:\\Program Files\\Internet Explorer\\WINLOGON.exe是否已经存在,如果不存在,则进行拷贝。
sub_4011E0,主要做注册表操作,以完成自启动:
大概过程是将Program files下面的system.caca,添加到开机启动注册表software\\Microsoft\\Windows\\CurrentVersion\\Run,然后再设置.caca文件的运行方法,即利用C:\\Program Files\\Internet Explorer\\WINLOGON.exe来运行.caca,这样就变向开机启动了C:\\Program Files\\Internet Explorer\\WINLOGON.exe。
sub_4012A0:创建system.caca
3、文件隐藏与诱导点击
sub_401580主要完成了这个功能,看看当判断在移动磁盘里面点击时:
主要功能在sub_4013a0中:
首先拷贝生产MyDocument.exe,然后新建MyDocument文件夹,将属性设置为6(FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM),然后把其他U盘文件移动进去,这样就出现了之前那一幕……
但是这样一个U盘摆渡病毒,只是为了触发2011年的一个时间后门?……
这么牛x的分析,居然没什么人评论和评分 qwuiop789 发表于 2015-6-13 18:04
这是一个机房的U盘的病毒,U盘文件全部被改为exe文件,删不掉,还会造成电脑死机。
扩展名为.dll
lpk.dll病毒已经很老了,跟usp10.dll病毒是同一个类型的~ 就是个蠕虫木马,一般有个自动运行文件autorun.ini或者lpk.dll一类,不停的感染exerar。。。这些木马不新颖了,小菜的见解。。。{:301_996:} 好牛逼呀,,,我在学习了 我就来看看学学习 好老的病毒 南京的小伙伴?我在学校打印,两个优盘都变成这样了o(╯□╰)o。不过好像没什么事 围观→_→