此病毒预警是由国家计算机病毒应急处理中心近期发布的,该病毒会自我删除进行隐藏,还会向IE收藏夹中释放URL快捷方式,并篡改IE首页和下载其他***、病毒等恶意程序。本文对此病毒进行了分析。
此病毒预警是由国家计算机病毒应急处理中心近期发布的,内容如下:近期出现一种恶意***病毒,该程序会自我删除进行隐藏,向IE的收藏夹中释放URL资源地址快捷方式,强行篡改IE主页并下载其他***、病毒等恶意程序。下面我们就简单分析一下这个病毒样本。
病毒样本简介
File:dndSet0.exe
Size:482kb
MD5:2204C5FA2F840C5C02605E9F628F8016
瑞星v16:Trojan.Win32.Generic.149277E0
病毒样本截图如图1所示,既然是国家计算机病毒应急处理中心发布的预警,瑞星v16当然肯定可以查杀此病毒样本,瑞星v16查杀该样本如图2所示。
图1:病毒样本
图2:瑞星v16查杀此病毒样本
病毒行为分析
本例讲解的病毒行为分析中所用到的工具是mymonitor,这是一款基于病毒API监控的工具,可以实现对于病毒程序运行过程的全程跟踪分析,并根据分析出的病毒行为得出分析报告,其特点包括:1、反映全部进程及子进程的API调用,2、查看文件读写、删除情况,3、查看注册表读写,4、线程模块调用,工具运行界面如图3所示。
图3:MyMonitor工具界面
如图3所示,我们简单介绍一下这个工具。这个工具运用起来很简单,界面分左右及上下共三个窗口,左侧窗口列出的是当前系统所有进程,右侧窗口是监控窗口,可以将我们要分析的样本直接拖到这个窗口。拖入这个窗口后病毒就会跑起来,而下面的日志窗口就会记录一些病毒的行为。工具运行后默认就处于监控状态,在使用这个工具前,我们要先来进行简单的设置,如设置保存删除文件的路径及生成报告的保存路径等,如图4所示。
图4:MyMonitor工具设置界面
设置好之后我们就可以将病毒样本拖到右侧的窗口,需要提醒一下的是,此工具最好在虚拟机下使用,以免实机运行后导致系统中毒。接下来,我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,如图5所示,MyMonitor对病毒样本进入监控状态。
图5:MyMonitor对病毒样本的监控
为了更好地展示病毒行为,我们对MyMonitor工具事先做了设置,勾选创建进程前询问。随后我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,MyMonitor工具立即弹出创建新进程的提示,如图6所示。
图6:MyMonitor工具弹出进程创建提示
根据MyMonitor工具提示,我们简单分析一下病毒行为,首先,dndSet0.exe要在系统临时目录下创建dndTMP文件夹,并向此文件夹下写入Fav~Url.tmp文件。当然,为了继续监控病毒行为,在这里我们点击是,也就是允许创建,允许创建后我们看一下MyMonitor工具后续又监控到了哪些病毒行为,如图7所示。
图7:Fav~Url.tmp向系统收藏夹下写入大量的url快捷方式
病毒行为之一:如上图所示,Fav~Url.tmp在向系统收藏夹写入如淘宝购物、驴家旅游等url快捷方式,主要用来对网站进行推广。如图8所示,显示出系统IE浏览器的收藏夹下被写入的推广网站的url快捷方式。
图8:IE浏览器收藏夹被写入大量的推广网站url快捷方式
Fav~Url.tmp在写入大量的推广网站url快捷方式之后就退出了,mymonitor工具监视到Fav~Url.tmp退出如图9所示。
图9:mymonitor监控到的Fav~Url.tmp退出行为
Fav~Url.tmp退出之后,mymonitor又监控到了病毒另一行为,如图10所示,调用命令行,并以隐藏命令行窗口的方式执行命令:C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx。
图10:mymonitor监控到的新的创建进程行为
根据命令提示大致可以猜测出病毒是想将系统临时目录下的fbinst.dll拷贝到C:\WINDOWS\dndOnce\并命名为SUPPORT.IM_,同样,为了继续观察病毒行为,在这里我们点击是,如图11所示,mymonitor监控到病毒行为。
图11:mymonitor监控到执行结果
在执行C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx命令行之后,mymonitor又监控到了病毒以隐藏命令行窗口的方式执行命令C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f,修改IE主页为http://www.hao123.com.vc,如图12所示。
图12:修改IE主页为http://www.hao123.com.vc
同样在这里点击是,允许病毒修改IE主页,点击是之后,我们来查看一下主页,如图13所示,IE浏览器主页被修改为http://www.hao123.com.vc,最终访问到的地址为http://www.hao123.com/?tn=43061099_195_hao_pg。
图13:IE主页被修改为http://www.hao123.com/?tn=43061099_195_hao_pg
简单解释一下图12的命令行。首先,病毒以隐藏命令行窗口的方式执行了“以发送50次回显请求数”,ping -n 50指ping时发送包的次数,这里为50次,本机回环地址为127.0.0.1,C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50这个命令行完成之后,使用reg注册表命令执行强制修改主页为http://www.hao123.com.vc,也就是“
® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”这段命令行。
符号“&”应该是并列执行的意思,可以理解为:
1. 执行C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50
2. 执行C:\WINDOWS\system32\cmd.exe /c reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f
我们接下来再看看病毒在修改IE主页后又有哪些行为,mymonitor监控到病毒又执行了同样ping本机回环地址127.0.0.1还是50次,如图14所示。这里为什么又执行了ping的操作?估计应该是休眠延时,等待一会再执行后续的动作。
图14:执行ping操作
在成功执行ping操作后,mymonitor监控到病毒执行了自杀(删除病毒母体),同样还是隐藏命令行窗口方式“C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:\Documents and Settings\Administrator\桌面\dndSet0.exe"”,如图15所示。
图15:病毒执行删除病毒母体操作
在执行完删除病毒母体后,mymonitor未再有任何创建新进程的提示,也没有联网动作,看来是病毒执行完了,我们可以重启一下电脑,查看一下是否还有其他病毒行为。重启电脑发现只是IE主页被修改,IE收藏夹被写入大量推广网站的url快捷方式,接下来讲解一下病毒手动处理。
病毒处理
这个病毒行为很少,处理起来也相对简单,我们直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的电脑修复工具,扫描出IE主页注册表权限异常,如图16所示。
图16:瑞星安全助手扫描出IE主页异常
勾选此项,点立即修复,如图17所示,修复成功。
图17:使用瑞星安全助手成功修复IE异常主页
接下来使用瑞星安全助手的IE主页保护功能锁定一下自己喜欢的主页,这里推荐hao.rising.cn,如图18、19所示。
图18:使用瑞星安全助手锁定主页
图19:锁定IE主页为http://hao.rising.cn
最终IE主页被修改成功如图20所示。
图20:IE主页锁定成功
接下来再手动删除病毒在收藏夹里添加的推广网站url快捷方式,如图21所示。
图21:删除ie收藏夹里网站推广url快捷方式
手动删除IE收藏夹网站推广url后,IE收藏夹变得清爽多了,如图22所示。
图22:成功修复IE收藏夹