Trojan.Win32.Scar.cjdy分析

          前記

        這是很早之前分析的一個windows上的病毒程序，程序很有代表性，我當時分析的也很細緻。最近在整理文檔時發現了它，感覺還是有分享的價值的。

一、病毒標籤：

病毒名稱：Trojan.Win32.Scar.cjdy
病毒類型：下載類、感染型程序
文件 MD5：2EFC5A7D29B43AD8B0C02047AF7B4ED5
公開範圍：完全公開
危害等級：3
文件長度：36,864 字節
感染系統：Windows 2000以上版本
開發工具：Microsoft Visual C++ 6.0
加殼類型：無殼

二、病毒描述：

        該病毒爲下載類、感染型程序。病毒運行後會遍歷尋找所有邏輯盤符下的.exe格式文件，然後在.exe格式文件的同目錄下釋放lpk.dll病毒文件並設置屬性爲只讀、隱藏。本機上的任何被感染的.exe程序運行後都會加載病毒文件lpk.dll，進而運行病毒程序。達到病毒感染傳播的目的。之後病毒會遠程連接指定網址下載多款惡意程序到本機運行。同時病毒主體會收集本機信息回傳到指定網址，接收遠端控制。

三、 行爲分析：

本地行爲：

1.病毒運行後會釋放以下文件：

%System32%\hra33.dll  

%System32%\ hsfsyk.exe (隨機命名)

2、 添加註冊表項：

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalnhm] 
項：ImagePath
值：%System32%\ hsfsyk.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalnhm]
項：ImagePath

值：%System32%\ hsfsyk.exe

3、病毒主文件行爲過程：

 （1）  通過查詢註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
項下是否存在Nationalnhm服務，以此判斷病毒是否第一次運行。
（2）  病毒運行後會獲取自身路徑的前32位字符串與“C:\WINDOWS\system32”進行比較      判斷自身運行路徑，進而執行不同功能代碼。若與字符串不同則執行(3)
（3）  病毒釋放一個隨機命名的.exe文件hsfsyk.exe（此文件爲病毒自身副本）
到%System32%目錄下。 
（4）  病毒若在註冊表項中未查詢到Nationalnhm服務，則在註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名稱爲
“Nationalnhm”服務。並設置ImagePath(啓動路徑)爲
%System32%\hsfsyk.exe
（5）  病毒啓動“Nationalnhm”服務運行hsfsyk.exe（此文件被病毒自身副本）

（6）  病毒主程序退出。

4、hsfsyk.exe文件（此文件被病毒自身副本）行爲分析：

      病毒主體運行後會在system32目錄下釋放hsfsyk.exe文件（此文件被病毒自身副本），並通過服務啓動hsfsyk.exe運行。hsfsyk.exe文件執行過程如下：
（1） 通過查詢註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
項下是否存在Nationalnhm服務，進而判斷是病毒主體還是副本在運行。
若不存在則在註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名稱爲
“Nationalnhm”服務。並設置ImagePath(啓動路徑)爲
%System32%\hsfsyk.exe，
（2） 病毒運行後會獲取自身路徑的前32位字符串與“C:\WINDOWS\system32”進行比較判斷自身運行路徑，進而判斷是病毒主體還是副本（hsfsyk.exe）在運行。
（3） 若（1）判斷結果Nationalnhm服務已存在且（2）判斷結果路徑相同，則爲病毒副本（hsfsyk.exe）在運行進而執行（4）；否則只要一個條件不成立這執行病毒主體功能（見病毒主文件行爲過程）。
（4） 調用CreateProcess以掛起方式創建進程svchost.exe(一個重要系統程序路徑爲C:\WINDOWS\system32)。並調用ReadProcessMemory函數讀寫該進程內存，調用ZwUnmapViewOfSection獲取當前進程映射的基址，然後調用WriteProcessMemory函數對內存地址寫入病毒數據。
（5） 從新啓動svchost.exe進程，進而執行svchost.exe中注入的惡意程序。

（6）  hsfsyk.exe進程結束，程序退出。

5、被注入惡意代碼的svchost.exe進程行爲分析：

       svchost.exe(一個重要系統程序路徑爲C:\WINDOWS\system32)，但被病毒注入了惡意代碼，進而svchost.exe成爲了傀儡去執行病毒程序。具體惡意行爲如下：
（1） 獲取感染電腦主機名稱、操作系統版本、內存大小、cpu主頻等信息。
（2） 病毒主動連接網址hxxp://www.ody.cc:80/tkxu.html，從此頁面中獲得另一個IP地址100.42.219.8，進而主動連接IP地址100.42.219.8。
（3） 病毒將（1）中得到的主機信息以TCP方式回傳到遠程地址100.42.219.8。進而接收遠程控制指令。
（4） 病毒遠程訪問hxxp://100.42.219.8/down.txt獲取下載列表，進而下載惡意程序到本機執行。

（5） 病毒在system32目錄下釋放dll文件hra33.dll。然後使hra33.dll注入到病毒宿主進程svchost.exe中，進而去執行hra33.dll裏的惡意程序。

6、hra33.dll文件行爲分析：

       注入進程svchost.exe中的惡意代碼在system32目錄下釋放har33.dll惡意文件，並將har33.dll注入到svchost.exe中運行。此har33.dll此刻只執行了感染部分的功能代碼，具體行爲如下：
（1） 掃描被本機上所有邏輯磁盤，針對每個可感染的邏輯磁盤啓動一個感染線程去感染磁盤，每隔2個小時或邏輯磁盤發生變化時重複步驟（1）。

（2）當啓動感染線程後。感染線程會遍歷邏輯磁盤上的所有文件，只要發現目錄下有.exe格式文件存在且該目錄沒有lpk.dll文件時，就把har33.dll複製過去，並重命名爲lpk.dll文件。

7、lpk.dll文件行爲分析：

        此文件爲病毒釋放的har33.dll文件副本，同時也是病毒用來傳播的核心文件。此文件名與系統systme32下的lpk.dll(系統重要文件)重名。由於在windows系統下任何一個.exe程序執行時都需要先加載lpk.dll(系統重要文件)文件才能正常運行，但.exe程序會先在自身目錄下尋找lpk.dll文件加載，若未找到纔會去system32目錄下尋找lpk.dll文件加載。病毒利用.exe程序運行時的如上特點構造名稱爲lpk.dll屬性爲隱藏的惡意程序，從而當用戶運行於lpk.dll病毒文件同目錄下的.exe文件時，就會加載執行病毒程序。lpk.dll文件具體行爲過程如下：
（1） 病毒運行後首先獲取當前lpk.dll目錄完整路徑，保存在全局變量中作爲後面的感染目錄。
（2） 創建互斥量防止重複運行。
（3） 得到加載lpk.dll病毒的宿主程序文件名，比較此文件名前三個字符是否是hrl*，得到此文件的擴展名比較是否爲.tmp。若宿主文件爲hrl*.tmp則繼續加載系統lpk.dll並獲取所有導出函數地址，進而執行宿主程序退出病毒程序。否則執行（4）
（4） 在%Temp%目錄下釋放hrl*.tmp(*號表示隨機數字)的exe文件。此文件MD5
2EFC5A7D29B43AD8B0C02047AF7B4ED5，實爲hsfsyk.exe副本。之後病毒運行hrl*.tmp。（hrl*.tmp文件具體行爲過程見文章前頭2、病毒主文件行爲過程）
（5） 判斷當前模塊是否爲lpk.dll。若是則創建感染線程並運行。否則繼續加載系統lpk.dll並獲取所有導出函數地址，進而執行宿主程序退出病毒程序。
（6） 感染線程具體執行過程見hra33.dll文件行爲分析中描述。

網絡行爲：

協議：TCP/HTTP
端口：80
IP地址：50.115.34.93
回傳地址：hxxp://www.ody.cc/tkxu.html
描述：
（1） 病毒以GET方式訪問hxxp://www.ody.cc/tkxu.html，獲取跳轉IP地址100.42.219.8：23317。
（2） 病毒接收遠控指令通過連接hxxp://50.115.34.93:89/new329.exe地址，下載惡意程序到本機執行。

協議：TCP/HTTP
端口：80
IP地址：100.42.219.8
描述：

（1） 病毒主動連接100.42.219.8地址，將主機名稱、操作系統版本、內存大小、cpu主頻等信息以TCP方式回傳到此地址上。
（2） 遠程IP：100.42.219.8向本機發送下載指令地址爲：
hxxp://50.115.34.93:89/new329.exe。
（3） 病毒以GET方式連接hxxp:// 100.42.219.8：23317/down.txt獲取下載列表。
 下載類表內容如下：
          100.42.219.8:89/dk20133.exe 100.42.219.8:89/cjx6.exe 100.42.219.8:89/dk20123.exe  100.42.219.8:89/dk2014.exe 100.42.219.8:89/iebrower.exe

四、 下載的惡意程序分析：

1、new329.exe

病毒描述：

       此程序是個下載者病毒。運行後訪問網址hxxp:// 100.42.219.8：23317/down.txt，下載列表中的惡意程序到本機執行。同時向主機hosts文件中添加網址達到屏蔽某些網站作用。

本地行爲：

       釋放文件：
           %system32%\drivers\etc\hosts
           描述：屏蔽的網址有www.ijinshan.com、www.360.cn、www.rising.com.cn、 www.ijinshan.com、kaba365.com。
           %system32%\jarinet\QQExtrenal.exe（病毒自身副本）
      添加註冊表項：
           [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QQExtrenal"="                     %system32%\\jarinet\\QQExtrenal.exe"
          描述：添加開機啓動項。

網絡行爲：

協議：TCP/HTTP
端口：80
IP地址：100.42.219.8

描述：病毒以GET方式連接hxxp:// 100.42.219.8：23317/down.txt獲取下載列表。

2、dk20133.exe

病毒描述：

        該惡意代碼文件爲後門程序，執行後複製自身到系統目錄。創建互斥量，添加服務，連接指定遠程主機，接受遠程主機控制。

本地行爲：

       釋放文件：
           %system32%\sss2.exe
           描述：獲取自身路徑比較自身是否是"%system32%\sss2.exe"、
           "%system32%\svchost.exe"。若均不是以上文件路徑，則複製自身到系統目錄下，並重命名爲"sss2.exe"，並設置文件屬性爲系統、隱藏。
       添加註冊表項：
           [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\222]
           項：ImagePath
           值：%system32%\ sss2.exe
           HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\222\
           項：ImagePath
           值：%system32%\ sss2.exe
           描述：sss2.exe運行後，打開服務管理器，在註冊表創建名爲"222"、自動啓動類型的服務，並啓動該服務。

網絡行爲：

協議：TCP/HTTP
端口：1063
IP地址：61.147.99.78

描述：連接遠程網址hxxp://www.caoanli.com。並接受遠程控制。

3、dk20123.exe

病毒描述：

        該惡意代碼文件爲後門程序，執行後複製自身到系統目錄。創建互斥量，添加服務，連接指定遠程主機，接受遠程主機控制。

本地行爲：

       釋放文件：
           %system32%\WinHelp32.exe
           描述：獲取自身路徑，比較自身是否是"%system32%\ WinHelp32.exe"、
           "%system32%\svchost.exe"。若均不是以上文件路徑，則複製自身到系統目錄下，並重命名爲"sss2.exe"，並設置文件屬性爲系統、隱藏。
      添加註冊表項：
          [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ WinHelp32]
          項：ImagePath
          值：%system32% \ WinHelp32.exe
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinHelp32\
          項：ImagePath
          值：%system32%\ WinHelp32.exe
          描述：WinHelp32.exe運行後，打開服務管理器，在註冊表創建名爲" WinHelp32"、自動啓動類型的服務，並啓動該服務。

網絡行爲：

協議：TCP/HTTP
端口：1065
IP地址：50.115.34.93

描述：連接遠程網址hxxp://www.usa88888.com接受遠程控制。

4、dk2014.exe

病毒描述：

       該惡意代碼文件爲後門程序，執行後複製自身到系統目錄。創建互斥量，添加服務，連接指定遠程主機，接受遠程主機控制。

本地行爲：

       釋放文件：
           %system32%\win32.exe
           描述：獲取自身路徑，比較自身是否是"%system32%\win32.exe "、
           "%system32%\svchost.exe"。若均不是以上文件路徑，則複製自身到系統目錄下，並重命名爲"win32.exe "，並設置文件屬性爲系統、隱藏。
      添加註冊表項：
          [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ ww]
          項：ImagePath
          值：%system32% \ win32.exe
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ww\
          項：ImagePath
          值：%system32%\ win32.exe
          描述：win32.exe運行後，打開服務管理器，在註冊表創建名爲" ww"、自動啓動類型的服務，並啓動該服務。

網絡行爲：

協議：TCP/HTTP
端口：2014
IP地址：50.115.34.93

描述：連接遠程網址hxxp://2014.usa88888.com接受遠程控制。

5、cjx6.exe

病毒描述：

       該惡意代碼文件爲刷廣告類程序。運行將自身複製Windows Media Player目錄下並重命名，啓動程序。後臺訪問指定網址刷取流量，同時桌面生成“方便導航”快捷圖標。病毒程序會不斷檢測桌面快捷圖標是否被刪除修改，否則重新生成快捷圖標。病毒會不斷檢測某些瀏覽器是否在運行，若運行則立刻結束當前瀏覽器進程，然後通過特殊命令重新啓動當前瀏覽器訪問指定網址。

本地行爲：

     釋放文件：
          %ProgramFiles%\Windows Media Player\comine.exe
          描述：病毒自身副本
          %Documents and Settings%\Administrator\桌面\方便導航.lnk
         描述：快捷方式訪問網址爲hxxp://www.hao12368.com/?index.htm，並設置快捷鍵爲“Ctrl+Alt+E”
     添加註冊表項：
         [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
         "Windows"="%ProgramFiles%\\Windows Media Player\\comine.exe"   
         描述：自啓動項。
具體行爲過程：
（1）病毒運行後將自身複製到指定目錄下改名爲comine.exe，病毒原程序自刪除，   啓動comine.exe運行。
（2）comine.exe運行修改註冊表項添加自啓動項。
（3）病毒後臺訪問指定網址，刷取流量。同時在桌面生成“方便導航”瀏覽器快捷圖標，快捷方式連接到指定網址。

（4）病毒不斷檢測其創建的快捷圖標是否被修改、刪除，否則重新生成快捷圖標。同時病毒會不斷檢測是否開啓 iexplore.exe、ttraveler.exe、sogouexplorer.exe、360se.exe、grrrnbrowser.exe、firefox.exe、maxthon.exe瀏覽器進程。若發現有瀏覽器進程開啓則結束此進程，並運行rtcshell函數調“C:\Program Files\InternetExplorer\iexplore.exe   http://www.hao12368.com/?index.htm"參數（C:\Program Files\InternetExplorer\iexplore.exe爲當前運行的瀏覽器路徑以實際路徑爲準）重新啓動當前瀏覽器訪問指定網址。

網絡行爲：

協議：TCP/HTTP
端口：1063
IP地址：173.2523.250.206

描述：病毒訪問指定網址Hxxp://www.darkstcode.com，刷取流量。

6、iebrower.exe

病毒描述：

       該程序爲刷廣告類程序，運行後修改註冊表添加自啓動項。後臺訪問指定網址刷取流量。

本地行爲：

       註冊表添加項：
       [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
       "WorkAssist"="%Documents and Settings%\\Administrator\\桌面\\iebrower.exe"
       描述：設置開機啓動項

網絡行爲：

協議：TCP/HTTP
端口：80
IP地址：61.191.188.145
描述：病毒訪問指定網址hxxp://www.hao12368.com/index.html，刷取流量。

[注]

%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。
%Windir% 　　　　　 　　　　　 WINDODWS所在目錄
%DriveLetter%　 　　　　　　　  邏輯驅動器根目錄
%ProgramFiles%　 　 　　　　　  系統程序默認安裝目錄
%HomeDrive% 　　　　　　　　　當前啓動的系統的所在分區
%Documents and Settings% 　　　  當前用戶文檔根目錄
%Temp% 　　　　　　　\Documents and Settings\當前用戶\LocalSettings\Temp
%System32% 　　　　　　　　　 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
Wndows95/98/me中默認的安裝路徑是C:\Windows\System
WindowsXP中默認的安裝路徑是C:\Windows\System32

五、 清除方案：

略