Simone
捕获时间2008-03-20病毒症状 该程序是使用VC编写的病毒程序,由微点主动防御软件自动捕获,采用UPX加壳方式试图躲避特征码扫描,加壳后长度为94,208字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件感染、移动存储介质方式传播。病毒分析动作一:该样本程序被执行后,查找窗口名或类名为如下字符的窗口,试图通过API函数GetWindowThreadProcessId、 OpenProcess、TerminateProcess将其关闭,同时发送大量的垃圾消息,造成含有如下窗口的进程无法处理消息自行退出;创建名为 “cdocuments and settingsadministrator桌面setupsetupexe”的互斥体,防止系统中有多个病毒进程在运行。 Quote:免疫江民杀毒病毒AvastTtabSheet进程管理TpageControlCopylockTsuiForm版墙云防Frame狙剑微点AfxControlBar42sTapplication费尔AntivirThunderRT6Timerthunderrt6formdc升级木thunderrt6mainesetmcafeeafx:arpavgfacelesswndprocbitdefenderewido具诊#32770MonitorOnitAfetYstmcagent.escanfirewalldr.webmetapadmozillauiwindowclasscabinetwclassieframediskgendummycomxorer磁碟机pagefile.pifsmss.exelsass.exe360安全修改如下注册表键值隐藏病毒文件使其不能被显示出来、开启Windows自动播放功能利用其传播病毒。 Quote:项:HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\键值:ShowSuperHidden指向数据:00项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\键值:NoDriveTypeAutoRun指向变量:95删除如下注升禅册表项实现突破映像劫持、组策略的免疫方式: Quote:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects"删除安全模式对应的键值使用户不能通过安全模式删除病毒文件和修复系统: Quote:HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}通过API函数GetSystemDirectoryA、GetUserNameA获取系统目录与当前用户名,调用Cacls .exe为系统目录下启如com子目录赋予当前用户的完全控制权限,如果存在与病毒名相同的文件或文件夹则删除;在目录C:\下释放驱动文件 NetApi000.sys,悄笑启修改文件属性为隐藏和系统;添加SeDebugPrivilege特权令牌,获取调试权限,使得任务管理器无法将其结束;调用SCM写注册表项将NetApi000.sys注册成名为NetApi000的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数 DeleteService将服务NetApi000删除,通过驱动恢复系统分发表将所有系统服务重置,从而使多种病毒监控程序失效; Quote:项:HKLM\SYSTEM\CurrentControlSet\Services\NetApi000\键值:DisplayName指向数据:NetApi000项:HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\键值:ImagePath指向文件:\??\C:\NetApi000.sys项:HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\键值:Start指向数据:03遍历有如下字符串的进程将其关闭: Quote:KmailmonGuardScanKissvcWatchKvTwisterAvprav调用API函数SHDeleteKeyA将如下服务删除;拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下,重命名为 ~.exe.*******.exe;添加SeShutdownPrivilege特权令牌,获取关机权限,使用API函数ExitWindowsEx强制关机重启。 Quote:MPSVCServiceAntiVirServiceAVPKWatchSvcEkrnSymEventPAVSRVTmmbdMcShieldRsRavMonEQServiceKSysMon动作二:~.exe.*******.exe运行后,创建名为“cdocuments and settingsall userswinnt「开始」菜单程序启动~exe3706156exe ”的互斥体,防止系统中有多个病毒进程在运行;删除注册表自启动项以使系统中安全软件不能一起随系统启动;将自身拷贝到%systemroot%\ system32\com目录下,重命名为lsass.exe;通过API函数CreateProcessA运行lsass.exe。之后执行自删除操作,当系统注销时再次将lsass.exe的拷贝复制到启动目录下,实现下次病毒自启动。动作三:%systemroot%\system32\com\lsass.exe运行后,创建名为“cwinntsystem32comlsassexe”的互斥体,防止系统中有多个病毒进程在运行;检测文件夹下是否存在免疫文件,如果存在执行“动作一”中相关动作删除免疫;在com目录下释放文件 netcfg.000、netcfg.dll与smss.exe;在%systemroot%\system32目录下释放动态库dnsq.dll,通过 regsvr32.exe /s /c将dnsq.dll注册,并将dnsq.dll添加到AppInit_DLLs键值下,当创建进程时被自动加载,安装全局钩子,以独占方式打开 boot.ini与host文件,使得其它线程无法操作这两个文件;之后重复“动作一”中相关动作。 Quote:项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\键值:AppInit_DLLs指向数据:dnsq.dll动作四:枚举磁盘类型将所有分区下autorun.inf删除;在各分区释放autorun.inf文件,通过API函数CreateProcessA执行 cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\lsass.exe ^|C:\pagefile.pif在各分区中以覆盖形式释放隐藏病毒文件pagefile.pif,使用Windows自动播放功能来传播病毒;拷贝 lsass.exe为~.exe到启动目录下,通过调用API函数CreateProcessA将smss.exe作为模块名,运行% ALLUSERSPROFILE%\「开始」菜单\程序\启动\~.exe;实现进程互守;枚举磁盘跳过操作系统分区查找所有文件类型,对exe; rar、zip;js等类型文件进行感染,感染方式如下:1、判断文件扩展名为exe时,将病毒体写入到com目录下临时文件“~”中,再将待感染文件以88k和4k经过Xor指令加密后的数据交替追加到临时文件“~”中,最后再次把病毒体读入内存,取4k代码写入临时文件“~”中,感染过程完毕,通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\~ ^|(待感染文件).exe将文件覆盖实现感染。2、判断文件扩展名为zip或rar的时候,查找注册表相关键值取得rar.exe的绝对路径,调用rar命令行参数将文件解压后重复1感染动作,感染完毕后再打包压回。3、判断扩展名为js的文件时,在文件内插入包含“h**p://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%6%73%701”的框架,解密后为h**p://js.k0102.com/01.asp。 Autorun.inf文件内容如下: Quote:[AutoRun]open=pagefile.pifshell\open=打开(&O)shell\open\Command=pagefile.pifshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=pagefile.pif动作五:将如下两个网址作为参数,通过API函数CreateProcessA访问这两个网站显示广告信息。 Quote:h**p://d.gxlgdx.com /html/qb2.htmlh**p:// f.gxlgdx.com /html/dg2.html感染对象Windows 2000/Windows XP/Windows 2003传播途径网页木马、文件感染、移动存储介质
