前记
这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。
一、病毒标签:
病毒名称:Trojan.Win32.Scar.cjdy
病毒类型:下载类、感染型程序
文件 MD5:2EFC5A7D29B43AD8B0C02047AF7B4ED5
公开范围:完全公开
危害等级:3
文件长度:36,864 字节
感染系统:Windows 2000以上版本
开发工具:Microsoft Visual C++ 6.0
加壳类型:无壳
二、病毒描述:
该病毒为下载类、感染型程序。病毒运行后会遍历寻找所有逻辑盘符下的.exe格式文件,然后在.exe格式文件的同目录下释放lpk.dll病毒文件并设置属性为只读、隐藏。本机上的任何被感染的.exe程序运行后都会加载病毒文件lpk.dll,进而运行病毒程序。达到病毒感染传播的目的。之后病毒会远程连接指定网址下载多款恶意程序到本机运行。同时病毒主体会收集本机信息回传到指定网址,接收远端控制。
三、 行为分析:
本地行为:
1.病毒运行后会释放以下文件:
%System32%\hra33.dll
%System32%\ hsfsyk.exe (随机命名)
2、 添加注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nationalnhm]
项:ImagePath
值:%System32%\ hsfsyk.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalnhm]
项:ImagePath
值:%System32%\ hsfsyk.exe
3、病毒主文件行为过程:
(1) 通过查询注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
项下是否存在Nationalnhm服务,以此判断病毒是否第一次运行。
(2) 病毒运行后会获取自身路径的前32位字符串与“C:\WINDOWS\system32”进行比较 判断自身运行路径,进而执行不同功能代码。若与字符串不同则执行(3)
(3) 病毒释放一个随机命名的.exe文件hsfsyk.exe(此文件为病毒自身副本)
到%System32%目录下。
(4) 病毒若在注册表项中未查询到Nationalnhm服务,则在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名称为
“Nationalnhm”服务。并设置ImagePath(启动路径)为
%System32%\hsfsyk.exe
(5) 病毒启动“Nationalnhm”服务运行hsfsyk.exe(此文件被病毒自身副本)
(6) 病毒主程序退出。
4、hsfsyk.exe文件(此文件被病毒自身副本)行为分析:
病毒主体运行后会在system32目录下释放hsfsyk.exe文件(此文件被病毒自身副本),并通过服务启动hsfsyk.exe运行。hsfsyk.exe文件执行过程如下:
(1) 通过查询注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
项下是否存在Nationalnhm服务,进而判断是病毒主体还是副本在运行。
若不存在则在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下添加名称为
“Nationalnhm”服务。并设置ImagePath(启动路径)为
%System32%\hsfsyk.exe,
(2) 病毒运行后会获取自身路径的前32位字符串与“C:\WINDOWS\system32”进行比较判断自身运行路径,进而判断是病毒主体还是副本(hsfsyk.exe)在运行。
(3) 若(1)判断结果Nationalnhm服务已存在且(2)判断结果路径相同,则为病毒副本(hsfsyk.exe)在运行进而执行(4);否则只要一个条件不成立这执行病毒主体功能(见病毒主文件行为过程)。
(4) 调用CreateProcess以挂起方式创建进程svchost.exe(一个重要系统程序路径为C:\WINDOWS\system32)。并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据。
(5) 从新启动svchost.exe进程,进而执行svchost.exe中注入的恶意程序。
(6) hsfsyk.exe进程结束,程序退出。
5、被注入恶意代码的svchost.exe进程行为分析:
svchost.exe
(
一个重要系统程序路径为
C:\WINDOWS\system32)
,但被病毒注入了恶意代码,进而
svchost.exe
成为了傀儡去执行病毒程序。具体恶意行为如下:
(1) 获取感染电脑主机名称、操作系统版本、内存大小、cpu主频等信息。
(2) 病毒主动连接网址hxxp://www.ody.cc:80/tkxu.html,从此页面中获得另一个IP地址100.42.219.8,进而主动连接IP地址100.42.219.8。
(3) 病毒将(1)中得到的主机信息以TCP方式回传到远程地址100.42.219.8。进而接收远程控制指令。
(4) 病毒远程访问hxxp://100.42.219.8/down.txt获取下载列表,进而下载恶意程序到本机执行。
(5) 病毒在system32目录下释放dll文件hra33.dll。然后使hra33.dll注入到病毒宿主进程svchost.exe中,进而去执行hra33.dll里的恶意程序。
6、hra33.dll文件行为分析:
注入进程svchost.exe中的恶意代码在system32目录下释放har33.dll恶意文件,并将har33.dll注入到svchost.exe中运行。此har33.dll此刻只执行了感染部分的功能代码,具体行为如下:
(1) 扫描被本机上所有逻辑磁盘,针对每个可感染的逻辑磁盘启动一个感染线程去感染磁盘,每隔2个小时或逻辑磁盘发生变化时重复步骤(1)。
(2)当启动感染线程后。感染线程会遍历逻辑磁盘上的所有文件,只要发现目录下有.exe格式文件存在且该目录没有lpk.dll文件时,就把har33.dll复制过去,并重命名为lpk.dll文件。
7、lpk.dll文件行为分析:
此文件为病毒释放的har33.dll文件副本,同时也是病毒用来传播的核心文件。此文件名与系统systme32下的lpk.dll(系统重要文件)重名。由于在windows系统下任何一个.exe程序执行时都需要先加载lpk.dll(系统重要文件)文件才能正常运行,但.exe程序会先在自身目录下寻找lpk.dll文件加载,若未找到才会去system32目录下寻找lpk.dll文件加载。病毒利用.exe程序运行时的如上特点构造名称为lpk.dll属性为隐藏的恶意程序,从而当用户运行于lpk.dll病毒文件同目录下的.exe文件时,就会加载执行病毒程序。lpk.dll文件具体行为过程如下:
(1) 病毒运行后首先获取当前lpk.dll目录完整路径,保存在全局变量中作为后面的感染目录。
(2) 创建互斥量防止重复运行。
(3) 得到加载lpk.dll病毒的宿主程序文件名,比较此文件名前三个字符是否是hrl*,得到此文件的扩展名比较是否为.tmp。若宿主文件为hrl*.tmp则继续加载系统lpk.dll并获取所有导出函数地址,进而执行宿主程序退出病毒程序。否则执行(4)
(4) 在%Temp%目录下释放hrl*.tmp(*号表示随机数字)的exe文件。此文件MD5
2EFC5A7D29B43AD8B0C02047AF7B4ED5,实为hsfsyk.exe副本。之后病毒运行hrl*.tmp。(hrl*.tmp文件具体行为过程见文章前头2、病毒主文件行为过程)
(5) 判断当前模块是否为lpk.dll。若是则创建感染线程并运行。否则继续加载系统lpk.dll并获取所有导出函数地址,进而执行宿主程序退出病毒程序。
(6) 感染线程具体执行过程见hra33.dll文件行为分析中描述。
网络行为:
协议:TCP/HTTP
端口:80
IP地址:50.115.34.93
回传地址:hxxp://www.ody.cc/tkxu.html
描述:
(1) 病毒以GET方式访问hxxp://www.ody.cc/tkxu.html,获取跳转IP地址100.42.219.8:23317。
(2) 病毒接收远控指令通过连接hxxp://50.115.34.93:89/new329.exe地址,下载恶意程序到本机执行。
协议:TCP/HTTP
端口:80
IP地址:100.42.219.8
描述:
(1) 病毒主动连接100.42.219.8地址,将主机名称、操作系统版本、内存大小、cpu主频等信息以TCP方式回传到此地址上。
(2) 远程IP:100.42.219.8向本机发送下载指令地址为:
hxxp://50.115.34.93:89/new329.exe。
(3) 病毒以GET方式连接hxxp:// 100.42.219.8:23317/down.txt获取下载列表。
下载类表内容如下:
100.42.219.8:89/dk20133.exe 100.42.219.8:89/cjx6.exe 100.42.219.8:89/dk20123.exe 100.42.219.8:89/dk2014.exe 100.42.219.8:89/iebrower.exe
四、 下载的恶意程序分析:
1、new329.exe
病毒描述:
此程序是个下载者病毒。运行后访问网址hxxp:// 100.42.219.8:23317/down.txt,下载列表中的恶意程序到本机执行。同时向主机hosts文件中添加网址达到屏蔽某些网站作用。
本地行为:
释放文件:
%system32%\drivers\etc\hosts
描述:屏蔽的网址有www.ijinshan.com、www.360.cn、www.rising.com.cn、 www.ijinshan.com、kaba365.com。
%system32%\jarinet\QQExtrenal.exe(病毒自身副本)
添加注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QQExtrenal"=" %system32%\\jarinet\\QQExtrenal.exe"
描述:添加开机启动项。
网络行为:
协议:TCP/HTTP
端口:80
IP地址:100.42.219.8
描述:病毒以GET方式连接hxxp:// 100.42.219.8:23317/down.txt获取下载列表。
2、dk20133.exe
病毒描述:
该恶意代码文件为后门程序,执行后复制自身到系统目录。创建互斥量,添加服务,连接指定远程主机,接受远程主机控制。
本地行为:
释放文件:
%system32%\sss2.exe
描述:获取自身路径比较自身是否是"%system32%\sss2.exe"、
"%system32%\svchost.exe"。若均不是以上文件路径,则复制自身到系统目录下,并重命名为"sss2.exe",并设置文件属性为系统、隐藏。
添加注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\222]
项:ImagePath
值:%system32%\ sss2.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\222\
项:ImagePath
值:%system32%\ sss2.exe
描述:sss2.exe运行后,打开服务管理器,在注册表创建名为"222"、自动启动类型的服务,并启动该服务。
网络行为:
协议:TCP/HTTP
端口:1063
IP地址:61.147.99.78
描述:连接远程网址hxxp://www.caoanli.com。并接受远程控制。
3、dk20123.exe
病毒描述:
该恶意代码文件为后门程序,执行后复制自身到系统目录。创建互斥量,添加服务,连接指定远程主机,接受远程主机控制。
本地行为:
释放文件:
%system32%\WinHelp32.exe
描述:获取自身路径,比较自身是否是"%system32%\ WinHelp32.exe"、
"%system32%\svchost.exe"。若均不是以上文件路径,则复制自身到系统目录下,并重命名为"sss2.exe",并设置文件属性为系统、隐藏。
添加注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ WinHelp32]
项:ImagePath
值:%system32% \ WinHelp32.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinHelp32\
项:ImagePath
值:%system32%\ WinHelp32.exe
描述:WinHelp32.exe运行后,打开服务管理器,在注册表创建名为" WinHelp32"、自动启动类型的服务,并启动该服务。
网络行为:
协议:TCP/HTTP
端口:1065
IP地址:50.115.34.93
描述:连接远程网址hxxp://www.usa88888.com接受远程控制。
4、dk2014.exe
病毒描述:
该恶意代码文件为后门程序,执行后复制自身到系统目录。创建互斥量,添加服务,连接指定远程主机,接受远程主机控制。
本地行为:
释放文件:
%system32%\win32.exe
描述:获取自身路径,比较自身是否是"%system32%\win32.exe "、
"%system32%\svchost.exe"。若均不是以上文件路径,则复制自身到系统目录下,并重命名为"win32.exe ",并设置文件属性为系统、隐藏。
添加注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ ww]
项:ImagePath
值:%system32% \ win32.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ww\
项:ImagePath
值:%system32%\ win32.exe
描述:win32.exe运行后,打开服务管理器,在注册表创建名为" ww"、自动启动类型的服务,并启动该服务。
网络行为:
协议:TCP/HTTP
端口:2014
IP地址:50.115.34.93
描述:连接远程网址hxxp://2014.usa88888.com接受远程控制。
5、cjx6.exe
病毒描述:
该恶意代码文件为刷广告类程序。运行将自身复制Windows Media Player目录下并重命名,启动程序。后台访问指定网址刷取流量,同时桌面生成“方便导航”快捷图标。病毒程序会不断检测桌面快捷图标是否被删除修改,否则重新生成快捷图标。病毒会不断检测某些浏览器是否在运行,若运行则立刻结束当前浏览器进程,然后通过特殊命令重新启动当前浏览器访问指定网址。
本地行为:
释放文件:
%ProgramFiles%\Windows Media Player\comine.exe
描述:病毒自身副本
%Documents and Settings%\Administrator\桌面\方便导航.lnk
描述:快捷方式访问网址为hxxp://www.hao12368.com/?index.htm,并设置快捷键为“Ctrl+Alt+E”
添加注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows"="%ProgramFiles%\\Windows Media Player\\comine.exe"
描述:自启动项。
具体行为过程:
(1)病毒运行后将自身复制到指定目录下改名为comine.exe,病毒原程序自删除, 启动comine.exe运行。
(2)comine.exe运行修改注册表项添加自启动项。
(3)病毒后台访问指定网址,刷取流量。同时在桌面生成“方便导航”浏览器快捷图标,快捷方式连接到指定网址。
(4)病毒不断检测其创建的快捷图标是否被修改、删除,否则重新生成快捷图标。同时病毒会不断检测是否开启 iexplore.exe、ttraveler.exe、sogouexplorer.exe、360se.exe、grrrnbrowser.exe、firefox.exe、maxthon.exe浏览器进程。若发现有浏览器进程开启则结束此进程,并运行rtcshell函数调“C:\Program Files\InternetExplorer\iexplore.exe http://www.hao12368.com/?index.htm"参数(C:\Program Files\InternetExplorer\iexplore.exe为当前运行的浏览器路径以实际路径为准)重新启动当前浏览器访问指定网址。
网络行为:
协议:TCP/HTTP
端口:1063
IP地址:173.2523.250.206
描述:病毒访问指定网址Hxxp://www.darkstcode.com,刷取流量。
6、iebrower.exe
病毒描述:
该程序为刷广告类程序,运行后修改注册表添加自启动项。后台访问指定网址刷取流量。
本地行为:
注册表添加项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WorkAssist"="%Documents and Settings%\\Administrator\\桌面\\iebrower.exe"
描述:设置开机启动项
网络行为:
协议:TCP/HTTP
端口:80
IP地址:61.191.188.145
描述:病毒访问指定网址hxxp://www.hao12368.com/index.html,刷取流量。
[注]
%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\LocalSettings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Wndows95/98/me中默认的安装路径是C:\Windows\System
WindowsXP中默认的安装路径是C:\Windows\System32
五、 清除方案:
略