前記
這是很早之前分析的一個windows上的病毒程序,程序很有代表性,我當時分析的也很細緻。最近在整理文檔時發現了它,感覺還是有分享的價值的。
一、病毒標籤:
病毒名稱:Trojan.Win32.Scar.cjdy病毒類型:下載類、感染型程序
文件 MD5:2EFC5A7D29B43AD8B0C02047AF7B4ED5
公開範圍:完全公開
危害等級:3
文件長度:36,864 字節
感染系統:Windows 2000以上版本
開發工具:Microsoft Visual C++ 6.0
加殼類型:無殼
二、病毒描述:
該病毒爲下載類、感染型程序。病毒運行後會遍歷尋找所有邏輯盤符下的.exe格式文件,然後在.exe格式文件的同目錄下釋放lpk.dll病毒文件並設置屬性爲只讀、隱藏。本機上的任何被感染的.exe程序運行後都會加載病毒文件lpk.dll,進而運行病毒程序。達到病毒感染傳播的目的。之後病毒會遠程連接指定網址下載多款惡意程序到本機運行。同時病毒主體會收集本機信息回傳到指定網址,接收遠端控制。
三、 行爲分析:
本地行爲:
1.病毒運行後會釋放以下文件:
%System32%\hra33.dll%System32%\ hsfsyk.exe (隨機命名)
2、 添加註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalnhm]項:ImagePath
值:%System32%\ hsfsyk.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalnhm]
項:ImagePath
值:%System32%\ hsfsyk.exe
3、病毒主文件行爲過程:
(1) 通過查詢註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
項下是否存在Nationalnhm服務,以此判斷病毒是否第一次運行。
(2) 病毒運行後會獲取自身路徑的前32位字符串與“C:\WINDOWS\system32”進行比較 判斷自身運行路徑,進而執行不同功能代碼。若與字符串不同則執行(3)
(3) 病毒釋放一個隨機命名的.exe文件hsfsyk.exe(此文件爲病毒自身副本)
到%System32%目錄下。
(4) 病毒若在註冊表項中未查詢到Nationalnhm服務,則在註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名稱爲
“Nationalnhm”服務。並設置ImagePath(啓動路徑)爲
%System32%\hsfsyk.exe
(5) 病毒啓動“Nationalnhm”服務運行hsfsyk.exe(此文件被病毒自身副本)
(6) 病毒主程序退出。
4、hsfsyk.exe文件(此文件被病毒自身副本)行爲分析:
病毒主體運行後會在system32目錄下釋放hsfsyk.exe文件(此文件被病毒自身副本),並通過服務啓動hsfsyk.exe運行。hsfsyk.exe文件執行過程如下:(1) 通過查詢註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
項下是否存在Nationalnhm服務,進而判斷是病毒主體還是副本在運行。
若不存在則在註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名稱爲
“Nationalnhm”服務。並設置ImagePath(啓動路徑)爲
%System32%\hsfsyk.exe,
(2) 病毒運行後會獲取自身路徑的前32位字符串與“C:\WINDOWS\system32”進行比較判斷自身運行路徑,進而判斷是病毒主體還是副本(hsfsyk.exe)在運行。
(3) 若(1)判斷結果Nationalnhm服務已存在且(2)判斷結果路徑相同,則爲病毒副本(hsfsyk.exe)在運行進而執行(4);否則只要一個條件不成立這執行病毒主體功能(見病毒主文件行爲過程)。
(4) 調用CreateProcess以掛起方式創建進程svchost.exe(一個重要系統程序路徑爲C:\WINDOWS\system32)。並調用ReadProcessMemory函數讀寫該進程內存,調用ZwUnmapViewOfSection獲取當前進程映射的基址,然後調用WriteProcessMemory函數對內存地址寫入病毒數據。
(5) 從新啓動svchost.exe進程,進而執行svchost.exe中注入的惡意程序。
(6) hsfsyk.exe進程結束,程序退出。
5、被注入惡意代碼的svchost.exe進程行爲分析:
svchost.exe
(
一個重要系統程序路徑爲
C:\WINDOWS\system32)
,但被病毒注入了惡意代碼,進而
svchost.exe
成爲了傀儡去執行病毒程序。具體惡意行爲如下:
(1) 獲取感染電腦主機名稱、操作系統版本、內存大小、cpu主頻等信息。
(2) 病毒主動連接網址hxxp://www.ody.cc:80/tkxu.html,從此頁面中獲得另一個IP地址100.42.219.8,進而主動連接IP地址100.42.219.8。
(3) 病毒將(1)中得到的主機信息以TCP方式回傳到遠程地址100.42.219.8。進而接收遠程控制指令。
(4) 病毒遠程訪問hxxp://100.42.219.8/down.txt獲取下載列表,進而下載惡意程序到本機執行。
(5) 病毒在system32目錄下釋放dll文件hra33.dll。然後使hra33.dll注入到病毒宿主進程svchost.exe中,進而去執行hra33.dll裏的惡意程序。
6、hra33.dll文件行爲分析:
注入進程svchost.exe中的惡意代碼在system32目錄下釋放har33.dll惡意文件,並將har33.dll注入到svchost.exe中運行。此har33.dll此刻只執行了感染部分的功能代碼,具體行爲如下:(1) 掃描被本機上所有邏輯磁盤,針對每個可感染的邏輯磁盤啓動一個感染線程去感染磁盤,每隔2個小時或邏輯磁盤發生變化時重複步驟(1)。
(2)當啓動感染線程後。感染線程會遍歷邏輯磁盤上的所有文件,只要發現目錄下有.exe格式文件存在且該目錄沒有lpk.dll文件時,就把har33.dll複製過去,並重命名爲lpk.dll文件。
7、lpk.dll文件行爲分析:
此文件爲病毒釋放的har33.dll文件副本,同時也是病毒用來傳播的核心文件。此文件名與系統systme32下的lpk.dll(系統重要文件)重名。由於在windows系統下任何一個.exe程序執行時都需要先加載lpk.dll(系統重要文件)文件才能正常運行,但.exe程序會先在自身目錄下尋找lpk.dll文件加載,若未找到纔會去system32目錄下尋找lpk.dll文件加載。病毒利用.exe程序運行時的如上特點構造名稱爲lpk.dll屬性爲隱藏的惡意程序,從而當用戶運行於lpk.dll病毒文件同目錄下的.exe文件時,就會加載執行病毒程序。lpk.dll文件具體行爲過程如下:
(1) 病毒運行後首先獲取當前lpk.dll目錄完整路徑,保存在全局變量中作爲後面的感染目錄。
(2) 創建互斥量防止重複運行。
(3) 得到加載lpk.dll病毒的宿主程序文件名,比較此文件名前三個字符是否是hrl*,得到此文件的擴展名比較是否爲.tmp。若宿主文件爲hrl*.tmp則繼續加載系統lpk.dll並獲取所有導出函數地址,進而執行宿主程序退出病毒程序。否則執行(4)
(4) 在%Temp%目錄下釋放hrl*.tmp(*號表示隨機數字)的exe文件。此文件MD5
2EFC5A7D29B43AD8B0C02047AF7B4ED5,實爲hsfsyk.exe副本。之後病毒運行hrl*.tmp。(hrl*.tmp文件具體行爲過程見文章前頭2、病毒主文件行爲過程)
(5) 判斷當前模塊是否爲lpk.dll。若是則創建感染線程並運行。否則繼續加載系統lpk.dll並獲取所有導出函數地址,進而執行宿主程序退出病毒程序。
(6) 感染線程具體執行過程見hra33.dll文件行爲分析中描述。
網絡行爲:
協議:TCP/HTTP
端口:80
IP地址:50.115.34.93
回傳地址:hxxp://www.ody.cc/tkxu.html
描述:
(1) 病毒以GET方式訪問hxxp://www.ody.cc/tkxu.html,獲取跳轉IP地址100.42.219.8:23317。
(2) 病毒接收遠控指令通過連接hxxp://50.115.34.93:89/new329.exe地址,下載惡意程序到本機執行。
協議:TCP/HTTP
端口:80
IP地址:100.42.219.8
描述:
(1) 病毒主動連接100.42.219.8地址,將主機名稱、操作系統版本、內存大小、cpu主頻等信息以TCP方式回傳到此地址上。
(2) 遠程IP:100.42.219.8向本機發送下載指令地址爲:
hxxp://50.115.34.93:89/new329.exe。
(3) 病毒以GET方式連接hxxp:// 100.42.219.8:23317/down.txt獲取下載列表。
下載類表內容如下:
100.42.219.8:89/dk20133.exe 100.42.219.8:89/cjx6.exe 100.42.219.8:89/dk20123.exe 100.42.219.8:89/dk2014.exe 100.42.219.8:89/iebrower.exe
四、 下載的惡意程序分析:
1、new329.exe
病毒描述:
此程序是個下載者病毒。運行後訪問網址hxxp:// 100.42.219.8:23317/down.txt,下載列表中的惡意程序到本機執行。同時向主機hosts文件中添加網址達到屏蔽某些網站作用。
本地行爲:
釋放文件:%system32%\drivers\etc\hosts
描述:屏蔽的網址有www.ijinshan.com、www.360.cn、www.rising.com.cn、 www.ijinshan.com、kaba365.com。
%system32%\jarinet\QQExtrenal.exe(病毒自身副本)
添加註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QQExtrenal"=" %system32%\\jarinet\\QQExtrenal.exe"
描述:添加開機啓動項。
網絡行爲:
協議:TCP/HTTP端口:80
IP地址:100.42.219.8
描述:病毒以GET方式連接hxxp:// 100.42.219.8:23317/down.txt獲取下載列表。
2、dk20133.exe
病毒描述:
該惡意代碼文件爲後門程序,執行後複製自身到系統目錄。創建互斥量,添加服務,連接指定遠程主機,接受遠程主機控制。本地行爲:
釋放文件:%system32%\sss2.exe
描述:獲取自身路徑比較自身是否是"%system32%\sss2.exe"、
"%system32%\svchost.exe"。若均不是以上文件路徑,則複製自身到系統目錄下,並重命名爲"sss2.exe",並設置文件屬性爲系統、隱藏。
添加註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\222]
項:ImagePath
值:%system32%\ sss2.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\222\
項:ImagePath
值:%system32%\ sss2.exe
描述:sss2.exe運行後,打開服務管理器,在註冊表創建名爲"222"、自動啓動類型的服務,並啓動該服務。
網絡行爲:
協議:TCP/HTTP端口:1063
IP地址:61.147.99.78
描述:連接遠程網址hxxp://www.caoanli.com。並接受遠程控制。
3、dk20123.exe
病毒描述:
該惡意代碼文件爲後門程序,執行後複製自身到系統目錄。創建互斥量,添加服務,連接指定遠程主機,接受遠程主機控制。本地行爲:
釋放文件:%system32%\WinHelp32.exe
描述:獲取自身路徑,比較自身是否是"%system32%\ WinHelp32.exe"、
"%system32%\svchost.exe"。若均不是以上文件路徑,則複製自身到系統目錄下,並重命名爲"sss2.exe",並設置文件屬性爲系統、隱藏。
添加註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ WinHelp32]
項:ImagePath
值:%system32% \ WinHelp32.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinHelp32\
項:ImagePath
值:%system32%\ WinHelp32.exe
描述:WinHelp32.exe運行後,打開服務管理器,在註冊表創建名爲" WinHelp32"、自動啓動類型的服務,並啓動該服務。
網絡行爲:
協議:TCP/HTTP端口:1065
IP地址:50.115.34.93
描述:連接遠程網址hxxp://www.usa88888.com接受遠程控制。
4、dk2014.exe
病毒描述:
該惡意代碼文件爲後門程序,執行後複製自身到系統目錄。創建互斥量,添加服務,連接指定遠程主機,接受遠程主機控制。本地行爲:
釋放文件:%system32%\win32.exe
描述:獲取自身路徑,比較自身是否是"%system32%\win32.exe "、
"%system32%\svchost.exe"。若均不是以上文件路徑,則複製自身到系統目錄下,並重命名爲"win32.exe ",並設置文件屬性爲系統、隱藏。
添加註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ ww]
項:ImagePath
值:%system32% \ win32.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ww\
項:ImagePath
值:%system32%\ win32.exe
描述:win32.exe運行後,打開服務管理器,在註冊表創建名爲" ww"、自動啓動類型的服務,並啓動該服務。
網絡行爲:
協議:TCP/HTTP端口:2014
IP地址:50.115.34.93
描述:連接遠程網址hxxp://2014.usa88888.com接受遠程控制。
5、cjx6.exe
病毒描述:
該惡意代碼文件爲刷廣告類程序。運行將自身複製Windows Media Player目錄下並重命名,啓動程序。後臺訪問指定網址刷取流量,同時桌面生成“方便導航”快捷圖標。病毒程序會不斷檢測桌面快捷圖標是否被刪除修改,否則重新生成快捷圖標。病毒會不斷檢測某些瀏覽器是否在運行,若運行則立刻結束當前瀏覽器進程,然後通過特殊命令重新啓動當前瀏覽器訪問指定網址。本地行爲:
釋放文件:%ProgramFiles%\Windows Media Player\comine.exe
描述:病毒自身副本
%Documents and Settings%\Administrator\桌面\方便導航.lnk
描述:快捷方式訪問網址爲hxxp://www.hao12368.com/?index.htm,並設置快捷鍵爲“Ctrl+Alt+E”
添加註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows"="%ProgramFiles%\\Windows Media Player\\comine.exe"
描述:自啓動項。
具體行爲過程:
(1)病毒運行後將自身複製到指定目錄下改名爲comine.exe,病毒原程序自刪除, 啓動comine.exe運行。
(2)comine.exe運行修改註冊表項添加自啓動項。
(3)病毒後臺訪問指定網址,刷取流量。同時在桌面生成“方便導航”瀏覽器快捷圖標,快捷方式連接到指定網址。
(4)病毒不斷檢測其創建的快捷圖標是否被修改、刪除,否則重新生成快捷圖標。同時病毒會不斷檢測是否開啓 iexplore.exe、ttraveler.exe、sogouexplorer.exe、360se.exe、grrrnbrowser.exe、firefox.exe、maxthon.exe瀏覽器進程。若發現有瀏覽器進程開啓則結束此進程,並運行rtcshell函數調“C:\Program
Files\InternetExplorer\iexplore.exe http://www.hao12368.com/?index.htm"參數(C:\Program Files\InternetExplorer\iexplore.exe爲當前運行的瀏覽器路徑以實際路徑爲準)重新啓動當前瀏覽器訪問指定網址。
網絡行爲:
協議:TCP/HTTP端口:1063
IP地址:173.2523.250.206
描述:病毒訪問指定網址Hxxp://www.darkstcode.com,刷取流量。
6、iebrower.exe
病毒描述:
該程序爲刷廣告類程序,運行後修改註冊表添加自啓動項。後臺訪問指定網址刷取流量。本地行爲:
註冊表添加項:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WorkAssist"="%Documents and Settings%\\Administrator\\桌面\\iebrower.exe"
描述:設置開機啓動項
網絡行爲:
協議:TCP/HTTP
端口:80
IP地址:61.191.188.145
描述:病毒訪問指定網址hxxp://www.hao12368.com/index.html,刷取流量。
[注]
%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啓動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\LocalSettings\Temp
%System32% 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
Wndows95/98/me中默認的安裝路徑是C:\Windows\System
WindowsXP中默認的安裝路徑是C:\Windows\System32
五、 清除方案:
略