吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9265|回复: 8
收起左侧

[PC样本分析] 一个简单word病毒行为跟踪分析

[复制链接]
kangkai 发表于 2013-9-13 19:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 kangkai 于 2013-9-13 19:41 编辑

//Author: kangkai
//Date: 2013年8月22日
//Email: jxpenghu@sohu.com

文件:C:\Documents and Settings\Administrator\桌面\6845288e2be0be1adbc3a3d4c6aaaa63_445b000a.doc
大小: 499744 字节
修改时间: 2013611, 8:36:24
MD5: 6845288E2BE0BE1ADBC3A3D4C6AAAA63
SHA1:83C0D54DCC948F0C91907DB8FA69CE776CBDD6B2
CRC32: 8C9830DE

level: 70
sub_level: 2
Extinfo:
src: 0
malware: Win32/Trojan.Exploit.610
class: 漏洞溢出病毒
flag: 0
Mid:
是否在启动项:查询异常或者状态未知
查询量:

1          运行病毒文件之前,先运行监控文件procmom.exe
2          双击运行病毒文件,打开之后,在我的虚拟机中看到的是一篇俄文的文档

1.png

通过procmon.exe知道其监控的PID号为544,我们用过滤器过滤至544,

2.jpg

   发现会在C盘根目录下创建文件

3.1.jpg
3.2.png

增加“写入文件”的规则条件之后,会发现,WINWORD.EXE释放了很多临时文件,关键是在临时文件区创建了一个临时文件

4.jpg

我再来看一下这个临时文件时,我们见过滤器切换至进程启动,会发现启动了cmd.exe,右击属性可见父PID2052,即WINWORD.EXE

可以看到winword.exe调用cmd.exe打开了6845288e2be0be1adbc3a3d4c6aaaa63_445b000a.doc,从而创建了临时文件。

5.jpg

6.jpg

我们再来看一下临时文件的作用吧,将规则添加至临时文件PID172,可以看到临时文件进行了一系列的动作,尤其是创建了文件的操作

7.jpg

可以看到往系统目录下写入了临时文件,同时也在临时文件下写入了三个临时文件和非临时文件等,可以大胆的假设会有文件开机启动,我们将规则添加注册表


8.jpg

同时还有发现添加了一个启动项HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RTHDCPL1

通过md5工具校验,发现amstreamx.tmp的md5值和psrass.exe的md5值相同,可以肯定,两者为同一文件。tmp.tmp通过将amstreamx.tmp 重命名后,添加开机启动!

要下班了,再不走就来不及了,最后开机启动就没有截图了。sorry

由于procmion.exe崩溃了,所有PID有多不同。

因为我的虚拟机装有冰点还原,就不对psrass.exe 的行为继续进行跟踪了。应该来说,这个病毒的主要功能还是在psrass.exe,有时间在分析分析psrass.exe吧!

本人菜鸟一枚,能力一般,如有不对之处,请见谅。在这非常感谢willJ对我的指导。@willJ

免费评分

参与人数 1热心值 +1 收起 理由
willJ + 1 欢迎分析讨论交流,[吾爱破解论坛]有你更精.

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

sirman 发表于 2013-10-17 19:46
下面内容是瑞星网上,资讯安全栏目的内容。接着楼主的内容如下:


至此,我们分析了temp.tmp的主要一些行为,既然有写入启动项,那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为,当然要重启电脑,在重启电脑前,为了更好地观察到重启之后病毒的一些行为,我们设置一下processmonitor工具,使用启用启动日志,具体设置方法如图24所示。
图24:勾选processmonitor工具的启用启动日志
勾选此项后,processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示,勾选这项后,在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示,会详细记录下重启电脑到开机启动的一些程序行为,当然也包括我们的想要看到的psrass.exe的行为。
图25:勾选启用启动日志时processmonitor弹出的提示
当我们重启电脑后,再次运行processmonitor工具就会提示是否保存启动时间活动日志,如图26所示。
图26:重启电脑再次运行processmonitor弹出保存日志提示
我们根据提示点击“是”来保存收集的数据,保存成功后processmonitor会自动将所有收集的数据都列出来,接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912,设置pid为1912的过滤规则,processmonitor列出所有psrass.exe的行为,如图27所示。
图27:启用启动日志时processmonitor监测到的psrass.exe病毒行为
我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作,看来这个psrass.exe会收集磁盘数据,我们截取了部分processmonitor监测到的psrass.exe查询操作记录,如图28所示,由于内容较多就不一一截图了。
图28:psrass.exe查询C:\Program Files目录数据
在所有的查询操作完毕之后,psrass.exe会创建C:\Documents and Settings\Administrator\Local Settings\Temp\desktopc.ini文件,psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中,如图29所示。
图29:psrass.exe向系统临时文件夹写入desktopc.ini文件
我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些,如图30所示,desktopc.ini文件内容被加密了,我们使用winhex工具打开这个被加密的文件,字符串的内容还是加密的。hex显示区内容有很多C3,如图31所示,有可能是XOR C3,我们尝试解密一下,在选中所有内容后右键点击Edit---Modify Data,在XOR出填写C3,如图32所示,点击确定后,我们在字符串区域看到了能够识别出的字符内容,如图33所示。
图30:desktopc.ini文件内容
图31:winhex打开加密的desktopc.ini文件
图32:解密加密内容填写异或值C3
图33:解密后desktopc.ini文件内容
我们可以使用winhex的导出功能将解密后的文件保存到txt文档中,就可以清楚地看出解密后的内容,如图34所示。
图34:psrass.exe会收集磁盘文件的大小,如红框中的pagefile.sys(786432K)
我们来验证一下解密后结果,是否和我们本机磁盘的pagefile.sys大小一样,如图35所示,果然一样。
图35:pagefile.sys大小同病毒写入desktopc.ini文件内容
我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分,进一步分析,我们发现psrass.exe会调用系统cmd命令去运行C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~MV1DFG78.tmp,如图36所示。
图36:cmd.exe进程启动
我们右击图36红框中的那条记录,点击属性进行查看,如图37所示,我们看到cmd.exe的父进程pid为1912也就是psrass.exe。
图37:cmd.exe父进程pid为1912,即psrass.exe
点击图37的事件属性的进程标签,我们可以看到cmd命令行内容,如图38所示。
图38:psrass.exe调用cmd运行~MV1DFG78.tmp
~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件,接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe,发现原来~MV1DFG78.tmp是一个应用程序,如图39所示,直接双击运行一下,原来~MV1DFG78.tmp是一个Mail Passview工具,如图40所示。
图39:修改~MV1DFG78.tmp为~MV1DFG78.exe
图40:~MV1DFG78.exe运行截图
我们大胆猜想一下,之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢?答案毋庸置疑,如图41所示,我们将~WV3ECD59.tmp修改为~WV3ECD59.exe,直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具,如图42所示。
图41:修改~WV3ECD59.tmp为~WV3ECD59.exe
图42:~WV3ECD59.exe运行截图
不用说,~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的,如图43所示。
图43:psrass.exe调用cmd运行~WV3ECD59.tmp
到这里大家可能会有疑惑,我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处,释放了两个正常的mail账户信息和浏览器账户信息查看工具,利用这两个工具来查看本地相关账户信息,将查找的账户信息写入加密的配置文件,之后再发送到指定的黑客服务器上,从而达到盗号的目的。
最后简单说一下这个病毒处理,病毒处理起来比较简单,病毒文件都在系统临时文件夹目录下,我们直接使用xuetr工具的强制删除功能,将所有病毒文件删除即可,如图44所示。
图44:使用xuetr强制删除病毒文件
再将病毒写入的启动项信息删除即可,如图45所示。
图45:删除病毒启动项信息
1002217709 发表于 2013-9-13 20:17
willJ 发表于 2013-9-14 12:52
希望后期增加对样本本身的分析,监控工具作为辅助

找到这个样本溢出点分析,我觉得这个更不错哦

LZ这种坚持的精神很值得鼓励,加油
JoyChou 发表于 2013-9-21 15:56
行为跟踪。
笑歌 发表于 2013-9-23 15:39
好样的。
h_one 发表于 2013-10-11 11:58
分析的真棒,
batistutawt 发表于 2014-11-19 17:21
"hex显示区内容有很多C3,如图31所示,有可能是XOR C3",这个思路不错。
xujiajay 发表于 2015-3-23 10:19
感谢楼主,非常详细的行为分析
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表