VirLock的“敲诈者”样本分析
本帖最后由 t2st 于 2016-2-25 17:10 编辑简述
VirLock的“敲诈者”病毒。它主要是通过强锁电脑里的文档、图片等重要资料,借机敲诈用户赎金0.71比特币(约1000元人民币)。
病毒描述
攻击行为一:感染用户数据文件及可执行文件
感染文件类型
https://dn-shimo-image.qbox.me/kJ4pPcz7O4Eb74kf.png!thumbnail
主要感染现象
被感染的文件与原文件图片一致,但是被感染文件是一个可执行病毒文件,再次执行会触发病毒感染行为。
分析流程
通过行为检测得知病毒样本会对数据文件及可执行文件进行感染,将测试文件"1.JPG"放置C盘目录下。通过感染型病毒的遍历磁盘的特征对FindFirstFile()和FindNextFile()这两个API函数下断点。
https://dn-shimo-image.qbox.me/jgGGalVRaK8RLaAD.png!thumbnail
样本对计算机磁盘按照A-Z遍历磁盘,由于测试环境没有软盘,就从C盘开始遍历文件,获取到文件名后提取后缀名进行逐一匹配。
https://dn-shimo-image.qbox.me/8T9K4ev1tYopPdA2.png!thumbnail
https://dn-shimo-image.qbox.me/B5j5b3zpLZUVVB3b.png!thumbnail
调用ExtractAssociatedIconW()对正在感染的文件进行判断,确认它是否存在图标,如果存在图标再调用GetIconInfo获得图标的大小,接着创建ioc文件,这个ioc文件生成在样本所在的目录下,也就是我们的桌面。
https://dn-shimo-image.qbox.me/4McOhMAqpFAcGoGM.png!thumbnail
https://dn-shimo-image.qbox.me/EM5s3kcISsEN1e16.png!thumbnail
https://dn-shimo-image.qbox.me/Vhr9HsYjp4kYBhu7.png!thumbnail
通过调用CreateFile创建了poEc.exe文件,生成目录是样本所在的文件夹里,也就是桌面,并通过WriteFile()写入数据。
https://dn-shimo-image.qbox.me/vMum0u1tlCIM1ddH.png!thumbnail
https://dn-shimo-image.qbox.me/jzL4ufupLFIuCD69.png!thumbnail
https://dn-shimo-image.qbox.me/Zgzq6adeDoUk8OtI.png!thumbnail
通过调用UpdateResource来交换poEC.exe和IOik.ico的图标文件,交换后调用EndUpdateResource来终止在poEx.exe中的资源更新,然后通过CopyFile()将伪造的病毒执行文件拷贝到感染文件的目录下。
https://dn-shimo-image.qbox.me/hemOixwHO0UQWLkQ.png!thumbnail
https://dn-shimo-image.qbox.me/5qMR5GmpBkEJ0zmM.png!thumbnail
https://dn-shimo-image.qbox.me/Wdb4B9Uj7XEUwAQb.png!thumbnail
https://dn-shimo-image.qbox.me/DOgeC5Zqf0E9fOUh.png!thumbnail
通过DeleteFile删除了被感染的文件,以及创建在样本目录的恶意程序和图标,完成感染。[原始文件并没有被删除的,只是被加密了。后来写修复程序的时候才反应过来报告中写错了!] (T_T)
https://dn-shimo-image.qbox.me/3UG3RFbhnT4m9n9o.png!thumbnail
攻击行为二:篡改用户密码
篡改当前用户,并创建一个新的用户。
病毒样本执行后,当前用户的密码会被恶意篡改。
账号名:Administrator(password:unlockpc)
密码:unlockpc
账号名:p9jgjgjgjp9udmdm(账号名为随机生成)
https://dn-shimo-image.qbox.me/WB2ePP2gsGkntRg8.png!thumbnail
https://dn-shimo-image.qbox.me/UFycDIWqV3Qyd6mo.png!thumbnail
分析流程
恶意篡改计算机当前用户,并将创建的"p9jgjgjgjp9udmdm"用户添加到administrators组、remote desktop组。
攻击行为三:弹出勒索提示,挟持用户界面
病毒全盘感染完毕之后,会弹出勒索提示框进行警告,病毒会勒索0.71 BTC(约合人民币1000元)。
https://dn-shimo-image.qbox.me/pdZJpIYNJfsYUr0l.png!thumbnail
分析流程
经过测试猜测挟持界面主要由被感染的病毒样本释放出来的"bIQckwEg.exe"控制,考虑进一步分析其行为特征。
攻击行为四:感染病毒后缀名隐藏
通过修改注册表"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"中的HideFileExt和Hidden的键值,达到隐藏后缀名欺骗用户点击感染病毒的文件。
https://dn-shimo-image.qbox.me/ohjvI5RTswgNYRCQ.png!thumbnail
分析流程
后缀名隐藏主要是为了将病毒文件伪装成被感染文件,从而欺骗用户点击执行可执行病毒文件。这里主要是通过修改注册表,达到隐藏后缀名。
攻击行为五:自启动/注册系统服务项
"C:\Documents and Settings\Administrator\oUskAAMo\"下创建"Niwgglgm.exe"
"C:\Documents and Settings\All Users\QugMcMkc\"下创建"bIQckwEg.exe"
"C:\Documents and Settings\All Users\deIEggYc\"下创建文件"aAYEQwMk.exe"
https://dn-shimo-image.qbox.me/6MemckM95fUi06tC.png!thumbnail
通过"msconfig"来查看计算机自动启动的项目,发现"bIQckwEg.exe"、"Niwgglgm.exe"加入到了启动项。
https://dn-shimo-image.qbox.me/wmm4dVlAlkI1CNhQ.png!thumbnail
"aAYEQwMk.exe"注册到系统服务中,服务名为"OIowMkax"(服务名也是随机的大小写字母)。
https://dn-shimo-image.qbox.me/QeeK7tS4DrQb4lU1.png!thumbnail
分析流程
创建文件通过调用CreateFile,设置自启动主要是通过调用注册表API函数将病毒感染样本释放出来的"bIQckwEg.exe"、"Niwgglgm.exe"加入到了启动项。"aAYEQwMk.exe"注册到系统服务中,估计是通过调用CreateService来实现的。
攻击行为六:守护进程
"Niwgglgm.exe":主要负责感染系统可执行文件及数据文档。
"bIQckwEg.exe":主要负责弹出勒索提示,并挟持界面。
"aAYEQwMk.exe":主要负责守护再次。
病毒会创建多个进程,且互相看护,如果其中任何一个进程结束,则会重新创建一个新的实例
https://dn-shimo-image.qbox.me/KNgKM2SLNNgNtsLk.png!thumbnail
攻击行为七:关闭UAC(系统安全功能)
https://dn-shimo-image.qbox.me/nlhqSkhExrMxUUmG.png!thumbnail
由于测试环境是XP系统,而UAC是属于Windows 7里的系统安全功能。
后话
最近开始看一些感染类型的样本,整理之前学习资料看到以前写报告,就分享出来,可能有很多地方写的不对,但是大家不要在意细节啦。不过也欢迎大家指出不足的地方!挺喜欢这个板块的,把写的一些报告发这里记录自己这个菜鸟的成长。┑( ̄。。 ̄)┍
很厉害,请坚持下去
很厉害,请坚持下去 吓得我把桌面的快捷方式都删了 支持,厉害。 楼主分析的挺详细的,感谢楼主 这病毒太可恶了 还是要学习一下 有解的办法吗?? 不错 不错,你病毒样本是在哪里获取的呢?
页:
[1]
2