文件夹病毒“360safe”样本分析

foolish

                        0x0 前言

样本来源：http://www.52pojie.cn/thread-427211-1-1.html
样本名称：360Safe.exe
样本MD5：D09B3F56413C15E1B5FB0E65FC9C324D
脱掉壳后MD5：2700C49BE729E140503AB34BF6DF4360
样本使用MFC编写，去掉壳后，分析起来难度不大，进行了简单的分析。

        0x1 样本主文件分析
样本的主函数结构如下：调用三个函数分别执行资源释放、DLL注入、添加启动项，创建两个线程来对移动磁盘、本地硬盘做感染，最后创建一个线程进行网络操作。

                        

释放资源文件为：C:\WINDOWS\system32\msxmlw.dll

将msxmlw.dll注入到explorer.exe进程中，该dll的功能，请看后面的分析。

将自身添加为自启动项，键值为360safebox

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360safebox"="C:\\Documents and Settings\\xxx\\桌面\\360safe_unpack.exe"

对移动磁盘进行感染

通过设置注册表值，隐藏文件后缀名、不显示隐藏的文件和文件夹。

下载列表的地址：http://www.wc86.com/aaaaaa.txt，目前已经失效

下载并调用可执行程序的代码

0x2 msxmlw.dll分析                        

该模块被注入到explorer.exe进程中，功能很简单，创建线程，执行下面的复制操作

0x3 感染方式
                        

遍历磁盘所有目录，将文件夹设置为隐藏属性，将样本自身命名为文件夹名称。

设置该可执行文件属性为正常，并使用WinExec来调用执行。

0x4 清理方式

• 删除注册表360safebox相关的所有项目
• 设置注册表，显示隐藏属性的文件和文件夹、显示文件后缀名
• 取消文件夹属性中的隐藏
• 删除所有以文件夹命名的程序。
• 删除C盘根目录下的全部可执行程序（自己明确知道是正常文件的除外）。
  
  

m13414907

“360safe”这个我好像看过，是某宝的后台软件吧

木木头上

我遇到过删除文件夹（内有其他文件和文件夹），在外面的文件夹无法删除，显示“找不到”。最后用了一个bat脚本删除的。

DEL /F /A /Q \\?\%1  
RD /S /Q \\?\%1

保存为bat文件，直接把文件夹拖到bat文件上就删除了

foolish

m13414907 发表于 2015-11-4 16:32
“360safe”这个我好像看过，是某宝的后台软件吧

可能只是名字一样吧，这个样本没有某宝相关的东西

tusdasa翼

我的样本，我来顶。谢谢大牛

Akachiri

顶一下楼主，涨姿势咯~！！！

Mr.Mlwareson_V

分析得很不错，值得学习