吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12732|回复: 37
收起左侧

[PC样本分析] Word/Excel文档伪装病毒-kspoold.exe分析

  [复制链接]
龙飞雪 发表于 2015-7-30 01:20
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-7-30 09:46 编辑

一、 病毒样本基本信息


样本名称:kspoold.exe

样本大小: 285184 字节

样本MD5:CF36D2C3023138FE694FFE4666B4B1B2

病毒名称:Win32/Trojan.Spy.a5e


计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc、.xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留到用户的电脑里。


001.png



二、 隐藏了.doc、.xls文档的衍生病毒的具体行为


1.从该样本文件的资源中获取名称为"UKURAN_EKSTRAKTO"的资源数据,然后解密该数据。


2.创建文件C:\WINDOWS\system32\kspoold.exe释放到系统目录C:\WINDOWS\system32下,并运行病毒母体文件kspoold.exe。


图片2.png


3.在该病毒样本的目录下,释放出原来正常的.doc、.xls文件


图片3.png


图片4.png



4.调用函数ShellExecuteA打开原来被隐藏的.doc、.xls文件,给用户造成假象。


5.通过字符串"COMSPEC"在系统的环境变量中查找到系统cmd.exe程序的路径"C:\\WINDOWS\\system32\\cmd.exe"


6.调用函数ShellExecuteA在"C:\\WINDOWS\\system32\\cmd.exe"中,执行命令"/c del \新建Microsoft Word 文档.exe\"删除 kspoold.exe的载体病毒例如”新建 Microsoft Word 文档.exe “文件自身。


图片18.png



三、 病毒母体kspoold.exe的具体行为


1.   创建可执行文件C:\WINDOWS\system32\avmeter32.dll和C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UninstallLog.dat。


2.   创建下面几个关键的注册表:

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"


3.   创建系统服务kspooldaemon, C:\WINDOWS\system32\kspoold.exe然后启动该系统服务kspooldaemon,系统服务kspooldaemon的作用是守护病毒母体进程kspoold.exe,它会实时的查询病毒母体进程kspoold.exe是否存在,一旦病毒母体进程kspoold.exe不存在,它就会马上创建病毒母体进程kspoold.exe。


4.   遍历系统所有程序的进程,找到资源管理器进程explore.exe,然后创建远程线程注入释放的C:\WINDOWS\system32\avmeter32.dll文件到资源管理器进程explore.exe中。


5.   获取用户操作系统的磁盘类型,针对用户的U盘里的.doc文件和.xls文件进行病毒感染处理,具体的感染处理是获取.doc文件和.xls的文件的图标,然后再重新构造一个和原来的.doc文件或者.xls文件同名并且图标是一样的载有病毒母体kspoold.exe的.EXE文件。


6.   获取用户操作系统的键盘布局信息以及设置键盘的消息钩子,对用户的键盘消息进行监听,记录用户的键盘按键的输入信息。


6

6


四、 kspoold.exe病毒专杀的编写思路


1.   关闭并删除 kspooldaemon系统服务以及删除C:\WINDOWS\system32\kspoold.exe文件。


2.   遍历系统里的所有程序的进程,查找到kspoold.exe进程然后结束它。


3.   删除下面几个注册表:

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"


4.   删除C:\WINDOWS\system32\avmeter32.dll文件。


5.   遍历进程explorer.exe的进程模块,卸载掉avmeter32.dll模块或者直接结束掉explorer.exe进程然后重新创建explorer.exe进程。


6.   对kspoold.exe衍生病毒的处理,先通过下面的方法提取隐藏的.doc、.xls文件,然后再删除该kspoold.exe衍生病毒文件。


五、 隐藏的.doc、.xls文档的恢复方法


1.  被kspoold.exe衍生病毒隐藏的.doc、.xls文件的文件格式保存在该病毒文件的文件偏移Offset=0x50C14的位置的4个字节。


2.  获取kspoold.exe衍生病毒文件的文件偏移Offset=0x50E23至该病毒文件末尾的所有数据即可提取到被该病毒隐藏的.doc、.xls文件。


3.  对于被kspoold.exe衍生病毒隐藏的.doc、.xls文件即可以手动通过WinHex.exe工具提取到也可以自己写个程序来实现.doc、.xls文件的提取。


图片7.png


图片8.png


4.  隐藏.doc、.xls文件的kspoold.exe衍生病毒里有两个PE文件。


图片9.png


在隐藏.doc、.xls文件的kspoold.exe衍生病毒文件的文件偏移Offset=0xB214位置是第2个PE文件的起始位置,其实该PE文件就是病毒母体文件kspoold.exe,只是病毒母体文件kspoold.exe的最后4个字节被用来保存被隐藏的.doc、.xls文件的文件格式,如.doc、.xls即该PE文件的结束位置是文件偏移Offset=0x50C17位置。


图片10.png


图片11.png


图片12.png


5.  kspoold.exe衍生病毒文件的数据组成示意图,从上到下即对应从文件头到文件尾。


图片13.png

六、 kspoold.exe病毒手动查杀方案


1.打开火眼XueTr工具,切换到火眼工具的服务选项,查看服务列表中有没有一个名称为kspooldaemon的服务。


图片14.png

如果有,右键选择该服务启动项,先选择“停止”停止该服务,然后选择“删除服务”删除该服务。


图片15.png

2.切换到进程选项,查看用户的进程列表,看进程列表里有没有名称为kspoold.exe的伪打印驱动进程;如果有,右键选中该进程,选择“强制结束进程并删除文件”项,结束进程。


图片16.png

3.在用户的进程列表中找到资源管理器进程explore.exe结束掉该进程。


图片17.png


4.如果U盘已经被感染,不要将U盘从电脑上拔下,保持U盘的原来状态;经过上面3步操作以后,对U盘进行格式化处理就可以了,文件自然丢失。


注意:在进行该病毒手动清除的时候,要记得使用火眼工具查看进程和服务列表,并且一定要先停止kspooldaemon服务,然后再结束病毒进程kspoold.exe,顺序不能反过来,否则kspoold.exe病毒进程是结束不掉的。


七、 kspoold.exe病毒的总结


kspoold.exe病毒并不是比较新的病毒,早在2012年的时候,就有病毒安全公司收集到该样本,至于是哪个安全公司就不提了,自行百度,并且该安全公司将该病毒划归为木马病毒的范畴。经过对该病毒的分析发现,虽然该病毒有获取系统键盘布局以及为键盘消息设置钩子等行为,将该病毒归为木马病毒还是有点不准确,但是还是遵循病毒安全公司的病毒命名方式,姑且将该病毒归为木马病毒。


本人病毒分析新手,这篇病毒分析是前段时间分析的,原先是发表在自己的CSND的博客上的。现发表在吾爱破解论坛上,来论坛那么久也学习了不少知识,自感惭愧大牛太多。这段时间准备静下心来学点知识,分析几个样本,认识点人交流交流。


点评

为什么不注明转载?  发表于 2015-8-4 17:31
水印有留下QQ 而且大家注意没有 他这个图片没有52PJ的水印  发表于 2015-7-30 07:50

免费评分

参与人数 8热心值 +8 收起 理由
幻影1122 + 1 已答复!
小白菜 + 1 好棒呀
cr7890 + 1 谢谢@Thanks!
victory石头 + 1 谢谢@Thanks!
yuluo5566 + 1 谢谢@Thanks!
逍遥枷锁 + 1 谢谢@Thanks!
Hyabcd + 1 我很赞同!
Mr.Mlwareson_V + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 龙飞雪 发表于 2015-8-4 14:02
lovehacker 发表于 2015-8-4 13:12
1. 看楼主装了360,没报毒???  360又  逗大家了么?

2. OD里留下来的字串,是用来打日志的么?那发布 ...

哈哈 分析的时候当然是360安全卫士已经选择信任了。
lovehacker 发表于 2015-8-4 13:12
1. 看楼主装了360,没报毒???  360又  逗大家了么?

2. OD里留下来的字串,是用来打日志的么?那发布出去的时候,这些应该都注释掉或者条件编译过滤掉啊,不然多明显。。。

3. 楼主分析的不错。
Mr.Mlwareson_V 发表于 2015-7-30 01:34
分析得不错,间接很独特,同为新手,希望多多指教
 楼主| 龙飞雪 发表于 2015-7-30 09:07
想起来了,不知道怎么改了,炯
 楼主| 龙飞雪 发表于 2015-7-30 09:11
谢谢,共同进步。
首席鉴淫师 发表于 2015-7-30 09:55
看到.EXE后缀的DOC文档正常人都不会打开吧!
 楼主| 龙飞雪 发表于 2015-7-30 09:58
首席鉴淫师 发表于 2015-7-30 09:55
看到.EXE后缀的DOC文档正常人都不会打开吧!

已经修改了系统显示文件的后缀名,默认系统是不显示的
kaka100861 发表于 2015-7-30 21:49
没看到水印有QQ啊,有吾爱的水印。。。。。这大神是怎么看的。。。
Very_good 发表于 2015-7-31 07:35
额  感谢分享
yuluo5566 发表于 2015-7-31 09:01
感谢分享,学习下
阿di达思 发表于 2015-7-31 09:54
认真学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表