一个感染型木马病毒分析(二)
本帖最后由 龙飞雪 于 2015-8-3 10:04 编辑0x1 序言
前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。
0x2 病毒木马性的分析---远程控制用户的电脑
前面的分析中已经分析过了,该感染型木马病毒会在用户的电脑上创建socket套接字作为service端,等待病毒作者client端的连接。这样病毒作者就能远程控制用户的电脑(这里的"控制"是操作的意思)也就说,病毒作者能够通过socket套接字向用户的电脑发送控制命令CmdMsg,指挥病毒resvr.exe对用户的电脑进行恶意的破坏。
病毒resvr.exe在用户的电脑上创建监听绑定本地IP=127.0.0.1的套接字端口号为40118,将用户的电脑变成了病毒作者能控制的service服务端。
病毒resvr.exe创建的本地监听套接字成功之后,等待接收病毒作者client方发来的控制命令recvCmdMsgBuffer,对用户的电脑进行恶意的操作。
病毒作者对用户电脑的远程控制操作有9组命令并且对用户电脑的控制操作也比较多,后面会详细的分析每一种远程控制命令的操作。对于病毒作者client端发来的控制命令的recvCmdMsgBuffer的数据格式为"ddCmdMsg+数据内容"即接受到的数据的前8个字节是病毒作者控制用户电脑的具体的命令类型也就是下面的9组命令类型。
第1组dwCmdMsg=0x3EB的控制操作:
很简单,向病毒作者的client端发送控制操作结果的反馈信息例如21 43 65 87 (4个字节)的数据。
第2组dwCmdMsg=0x450的控制操作:
根据病毒作者client端发来的数据创建C:\Program Files\Common Files\Microsoft Shared\Index.bat文件,系统本地提权瞬间关闭用户的计算机进行掩饰。
第3组dwCmdMsg=0x451的控制操作:
根据病毒作者client端发来的数据创建C:\Program Files\Common Files\Microsoft Shared\Index.bat文件,然后创建线程用于创建用户系统桌面右下角的弹窗对话框。
第4组dwCmdMsg=0x455的控制操作:
设置当前病毒进程感染用户文件的感染方式的标记 0xAABBCCDD,遍历用户电脑的所有逻辑盘里的文件进行“加密”方式的感染用户的所有文件。创建线程对用户电脑的26个软盘"ABCDEFGHIJKLMNOPQRSTUVWXYZ"里的.doc、.xls、.jpg、.rar格式的文件进行感染处理。
对用户文件的感染方式1,对用户文件的头0x400个字节进行xor异或的加密处理。
对用户文件的感染方式2,仅仅对用户的.doc、.xls、.jpg、.rar格式的文件进行感染处理。
第5组dwCmdMsg=0x453的控制操作:
创建线程用于使用DOS入侵的命令数据创建C:\\Program Files\\Common Files\\Microsoft Shared\\X.bat文件用。执行DOS入侵命令在用户的电脑上创建拥有更大权限的系统登录账户Guest。
第6组dwCmdMsg=0x458的控制操作:
创建线程用于获取当前病毒进程资源类型为RT_RCDATA且资源名称ResourceName = 0x69=105的资源数据,创建"Message.exe"文件然后运行该病毒文件Message.exe创建病毒进程。对于病毒文件Message.exe,后面详细分析。
第7组dwCmdMsg=0x7的控制操作:
对于控制命令"7",应该比较熟悉了吧。前面的病毒分析中提到病毒母体resvr.exe感染文件产生的衍生病毒会发送命令数据"7"。具体的病毒行为是对病毒作者client端或者病毒母体resvr.exe感染文件产生的衍生病毒client端发送的"7+文件路径"中指定文件路径的.doc、.xls、.jpg、.rar格式的文件进行感染处理即对感染病毒作者或者衍生病毒指定的.doc、.xls、.jpg、.rar格式的文件进行感染。
第8组dwCmdMsg=0x452的控制操作:
向0x451中在用户桌面右下角创建的弹窗对话框投递WM_CLOSE消息,用以关闭在用户桌面右下角创建的弹窗对话框。
第9组dwCmdMsg=0x454的控制操作:
创建线程用于创建"C:\\Program Files\\Common Files\\Microsoft Shared\\X.bat"文件并运行X.bat文件退出 Guest系统登录账户。
0x3 释放的病毒文件Message.exe的分析
弹一个MessageBox的对话框,然后创建X.bat文件删除病毒进程文件Message.exe自身,退出病毒进程。
谢谢吾爱破解论坛坛友的鼓励和支持也willJ的鼓励。由于对DOS入侵命令不熟,分析过程有些描述的不对,表述的不通顺,凑合着看哈。后面对该感染型木马病毒的文件感染过程和释放过程进行详细的分析下并想想被感染文件的恢复方法。
专业烤提莫 发表于 2015-8-4 20:19
有样本吗? 另也给份"Word/Excel文档伪装病毒-kspoold.exe分析"这贴的样本吧
要样本干嘛,中毒了自己写专杀吗?哈哈后面看吧。 KingMe 发表于 2015-8-3 09:44
膜拜必须加分,学习了,虽然说有些地方看不懂。
慢慢来,这个病毒样本还是不错的,没有多少垃圾的代码,基本每一行代码都是有实际含义的。 膜拜必须加分,学习了,虽然说有些地方看不懂。 不错不错顶一个 火钳刘明 膜拜加分。。。 支持,学习一下 试着学习病毒分析 有样本吗? 另也给份"Word/Excel文档伪装病毒-kspoold.exe分析"这贴的样本吧