周一在2号实验楼323嵌入式实验室用U盘时发现有病毒,重启后发现刚启动时电脑就有病毒,看来还原卡没起作用。一时兴起打包了病毒文件回来研究下。
病毒文件名:SysAnti.exe
文件大小:52.5KB
MD5:4B160901566108C6F89F21444CE503E7
PEID查壳信息:
PEID显示是ASPack壳,这一款兼容性良好的老牌壳。不过估计用工具脱不了,OD载入时出错,看来经过特意加密防止反编译。我也懒得深入研究壳了,直接丢入虚拟机的XP,创建快照。打开Procmon和Total Uninstall监视,然后运行。
先分析Total Uninstall下直观的文件和注册表修改情况:
文件修改:
1.在C:\windows\Fonts目录下创建cjavv.fon和fprij.fon文件,从文件名上分析可能是随机文件名。
2.与实验室看到的不同,病毒在C:\windows\system32目录下创建了SysAnti.exe文件,而不是实验室的C:\Program Files\Common File目录。
3.修改了C:\windows\system32\drivers\etc目录下的hosts文件,将主流杀软网站指向本地127.0.0.1地址,以阻止用户访问。
4.在所有磁盘创建了SysAnti.exe和AutoRun.inf文件(老掉牙的自动运行传播方式)
其AutoRun.inf文件内容如下:
比较有意思的是这个病毒会检测并关闭打开的记事本,不让我看这个文件内容。不过写的不错,在鼠标右键伪造了“打开”和“资源管理器”选项以混淆用户。
文件修改暂时就这么多,不过Total Uninstall是静态监视器,呆会还要看Procmon动态记录的信息。
注册表修改:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run,
“SysAnti”=”C:\windows\System32\SysAnti.exe”
这是建立自动运行。需要特别指出的是,这个路径下建立的自启动是不会显示在(msconfig)系统配置实用程序下的。
奇怪的是而在IceSword下也看不到,不过XueTr下可以看到启动项。
或者在组策略编辑器(gprdit.msc)的“登陆时运行这些程序”里也可以看到,也算是一种比较隐蔽的方式了。
然后是映像劫持,病毒在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options 下建立了以下键值:
360hotfix.exe,360rpt.exe,360Safe.exe,360safebox.exe,360tray.exe,adam.exe,AgentSvr.exe,AntiArp.exe,AppSvc32.exe,arvmon.exe,AutoGuarder.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,findt2005.exe,FTCleanerShell.exe,HijackThis.exe,IceSword.exe,iparmo.exe,Iparmor.exe,IsHelp.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,killhidepid.exe,KISLnchr.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,kvfw.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KvXP_1.kxp,KWatch.exe,KWatch9x.exe,KWatchX.exe,LiveUpdate360.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,nod32krn.exe,nod32kui.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavCopy.exe,RavMon.exe,RavMonD.exe,RavStore.exe,RavStub.exe,ravt08.exe,RavTask.exe,RegClean.exe,RegEx.exe,rfwcfg.exe,RfwMain.exe,rfwolusr.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,RsMain.exe,rsnetsvr.exe,RSTray.exe,runiep.exe,safebank.exe,safeboxTray.exe,safelive.exe,scan32.exe,ScanFrm.exe,shcfg32.exe,smartassistant.exe,SmartUp.exe,SREng.exe,SREngPS.exe,symlcsvc.exe,syscheck.exe,Syscheck2.exe,SysSafe.exe,ToolsUp.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,zxsweep.exe
看来作者真费了一番苦心啊,收集了所有主流杀软和主流检测工具的文件名啊。不过映像劫持也很好破解,把打不开的杀软重命名就好了。
注册表修改基本就是这些,不过Total Uninstall只是简单的运行前后对比而已。
下来再看看Procmon的日志吧。
果然和Total Uninstall就不一样了,首先可以看到病毒加载了C:\windows\system32\ntdll.dll,这是NT系统的一个重要模块。顺带说一句,“臭名昭著”的strcpy就是在这里定义的….
在我截图的过程中发现所有带有SysAnti字样和带有Auorun字样的窗口都会被强制关闭,另外含有主流杀软名字的窗口也会被强制关闭。所以中毒电脑会被阻止通过搜索引擎查找相关资料。而新加入的可移动磁盘也会被建立SysAnti.exe和AutoRun.inf文件,以通过U盘等传播。不过没有发现病毒开启的端口,暂时看来不是木马什么的。
继续看日志,SysAnti.exe接着查询了映像劫持中有没有自己,发现没有后加载 C:\windows\system32\kernel32.dll,user32.dll等等诸多的dll运行库。运行rundll32.exe等等…..咦,TCP连接202.171.253.108,开始网络操作了,因为是虚拟机,我也没有安装任何的第三方防火墙,而windows自带的可以直接忽略….所以也没有发现连接对象。Procmon的记录很琐碎,大致就是这些,主要还是对注册表的一些操作,涉及到驱动什么的。
简单分析就到这里吧,下面检测下动态状况。
打开IceSword,额…那个名为IceSword的文件夹被瞬间关闭, IceSword也打不开…哦,对了,映像劫持。给IceSword改名后顺利打开并且正常运行了。奇怪,在进程中并未发现可疑的,难道是注入到某个系统进程了?或者是服务级别的?更有甚者,ring0级别把自己隐藏了?
先奔着最坏的可能去,嗯….内核模块没发现异常,服务和设备也没有增加。看来可以初步锁定为进程插入型了,至于这个到底是病毒还是木马现在还不好说。
虚拟机运行的XP本来就很干净,简单看了下进程,怀疑对象锁定在了explorer.exe和svchost.exe上。打开模块信息…..太多了,加载的模块都有好几十。为了检测起来容易些,重启虚拟机进入安全模式吧。在实验室我已经确认了病毒竟然能顺利运行在安全模式下。
不对….无法进入安全模式了….这个文件是我在实验室直接打包带回来的样品啊…目前搞不清楚状况了。
没办法,直接正常启动吧,先不修复安全模式了。运行Procmon,监视所有线程操作,嘿嘿,果然发现了幕后黑手svchost.exe,PID为704。咦,这个svchost.exe竟然是以administrator运行的,看来自己是大意了,连这么明显的破绽都没看到啊。
看来病毒是注入到svchost.exe进程里了,果断用IceSword查找svchost.exe的模块,比对后果然发现了问题。
先试试直接结束PID为704的svchost.exe吧,嗯…可以结束,看来不是双进程保护的。删除了C盘下的SysAnti.exe和AutoRun.inf文件,也没有被重建了。
清除所有病毒文件和注册表项目后重启,再没有发现病毒痕迹。
P.S.监视了这个病毒很长一段时间,日志里没有发现它对其余文件的操作和键盘记录之类,也不知道是不是需要某些特定情景的触发。总之,手工清除并不复杂…
