一个猥琐的流氓推广软件病毒的简单分析病毒防范 -电脑资料

时间:2017-05-01 05:46:11
染雾
分享
WORD下载 PDF下载 投诉

今天我们要分析一个虚拟磁盘工具软件,这个病毒样本运行后看起来是正常应用程序,但当我们退出这个程序后,后续会发生一系列令人意想不到的事情,

一个猥琐的流氓推广软件病毒的简单分析病毒防范

在之前的瑞星安全月刊中,我们曾经写到过一篇“红米5秒抢购ID器”木马简单分析文章,这个抢购器实际上就是一个软件推广的木马病毒,运行后会给正常的系统下载并安装很多垃圾软件,这些垃圾软件也不容易卸载掉。今天,我们要分析一个虚拟磁盘工具软件,这个病毒样本运行后看起来是正常应用程序,但当我们退出这个程序后,后续会发生一系列令人意想不到的事情,下面就来简单分析一下这个样本。

病毒样本介绍

File:VDrive.exe

Size:92kb

MD5:CD1F8F81B75D07332E43E023FE7CD559

瑞星v16+报毒名称:Trojan.Win32.Generic.1677219F

此病毒样本截图如图1所示,瑞星v16查杀该样本截图如图2所示。

图1: 病毒样本

图2: 瑞星V16+查杀该样本截图

病毒样本行为分析

我们直接在虚拟机下直接双击运行VDdrive.exe,弹出一个首次使用虚拟磁盘专家,需要添加右键菜单的提示,如图3所示。

图3:运行病毒样本后弹出添加右键菜单提示

我们点击是按钮,弹出了虚拟磁盘专家的程序主界面,如图4所示。

图4:虚拟磁盘专家程序主界面

从图4来看,这似乎就是一个正常的虚拟磁盘专家软件,并没有什么异常现象。我们来尝试简单使用一下这个软件,先设置一下虚拟的文件路径,点击如图4-1所示的按钮,弹出想要创建的虚拟磁盘需要设置的文件路径对话框,如图5所示。

图4-1:设置虚拟的文件路径

图5:设置虚拟的文件路径为c:\新建文件夹

由于虚拟机只一个分区,故我们就在c盘根目录下新建一个文件夹,指定为虚拟的文件路径,点图5确定按钮后,就设置成功了虚拟的文件路径,如图6所示。

图6: 设置虚拟的文件路径为c:\新建文件夹,并将可分配的磁盘设置为E盘

按照图6的设置后,我们点创建按钮来创建一个虚拟磁盘,如图7所示,点创建后,软件提示“当前虚拟盘E:创建成功”。

图7:成功创建虚拟磁盘E:

点图7的确定按钮后,在当前在使用的虚拟磁盘显示出磁盘及其对应的物理路径,如图8所示。

图8:软件显示的虚拟磁盘盘符及物理路径

我们查看我的电脑,发现多了一个E盘,如图9所示,说明成功创建了虚拟磁盘。

图9:使用虚拟磁盘专家创建的虚拟磁盘E:

我们双击打开E盘,发现能正常打开,里面没有任何数据,如图10所示。

图10:打开的虚拟磁盘E:

到此我们验证了这个虚拟磁盘专家软件可以正常创建虚拟磁盘,下面再看一下创建好的虚拟磁盘是否能正常删除。该软件也提供了正常删除功能,我们选中当前在使用的虚拟磁盘,点删除按钮,如图11所示。

图11:删除创建的虚拟磁盘

点删除后,软件会提示是否确认要删除当前虚拟磁盘E:,如图12所示。

图12: 确认是否要删除创建的虚拟磁盘

这样看起来,这个软件做得还是比较正规的,怎么看都不像是病毒。点是按钮,查看是否能正常删除创建的虚拟磁盘,随后软件提示当前虚拟磁盘已删除,如图13所示。

图13:提示当前虚拟磁盘已删除

再来看我的电脑磁盘只剩一个系统C盘,之前创建的虚拟磁盘E已经被成功删除,如图14所示。

图14:创建的虚拟磁盘E成功被删除

到这里我们先后验证了这个软件的创建功能和删除功能都很正常。大家可能会疑惑,刚开始为什么通篇的都是演示虚拟磁盘专家这个软件的使用功能呢?并没有看到病毒的行为,我们前面的一大堆的演示,只是想证明一下这个软件的前两个功能都是正常的,这也是这个软件迷惑人的地方,但如果这时你认为这就是一个正常的虚拟磁盘软件,那就大错特错了。接下来,我们再来看一下软件退出功能,你将会看到一些意想不到的事情。我们点击虚拟磁盘专家软件主界面的退出按钮,我们虚拟机里安装的瑞星V16防火墙弹出一个VDrive.exe联网的提示,如图15所示。

图15:点击退出按钮后,瑞星防火墙拦截到虚拟磁盘专家软件请求联网

一个正常使用的软件为什么在软件退出后,会提示要联网呢?很可疑哟!从图15来看,vdrive.exe要通过本机的1140端口联网,连接远端ip为211.101.12.49的80端口。这里我们点击允许联网,在点击允许联网后,ie浏览器自动打开一个hao.6360.info的导航网址,如图16所示。

图16:在允许vdrive.exe联网后,ie浏览器自动打开hao.6360.info的网址导航

紧接着,瑞星防火墙又拦截到一个可疑程序axukr.exe要进行联网操作,通过本机的1176端口,同样要连接远端的ip为211.101.12.49的80端口,如图17所示。

图17:瑞星防火墙拦截到可疑程序axukr.exe要进行联网操作

从图17来看,axukre.exe的路径很可能是C:\Documents and Settings\Administrator\桌面\virus,我们直接查看一下这个路径下是否有axukr.exe,

电脑资料

《一个猥琐的流氓推广软件病毒的简单分析病毒防范》()。如图17-1所示,果然在C:\Documents and Settings\Administrator\桌面\virus下有这个文件axukre.exe。

图17-1:vdrive.exe联网后下载axukr.exe到和它同一路径的位置

我们点击图17中的允许联网按钮,同意让axukr.exe联网之后,系统托盘右下角弹出一个是否添加“音乐FM”开启启动项的提示,如图18所示。

图18:系统托盘弹出添加音乐FM开机启动的提示

看来在允许axukr.exe联网后,给系统快速下载并安装了音乐FM这个软件。同时,系统又自动打开一个点心浏览器,访问的网址为hao123的导航,并提示是否将点心浏览器设置为默认浏览器。如图19所示,悄无声息地给系统快速安装了点心浏览器,这就是流氓软件推广啊!这什么点心浏览器听都没有听说过。

图19:系统自动打开点心浏览器并访问hao123导航

由于我们允许axukr.exe联网,才导致这个流氓推广软件,下载了多个不知名的软件快速安装到了虚拟机里,导致虚拟机很卡。这也是流氓推广软件特性之一,我们只截取了部分被安装软件的截图,图20是我们截取到的酷播软件的在线安装界面。

图20:弹出的酷播在线安装的界面

终于,病毒在给系统安装多个软件之后,操作系统不堪重负,导致测试虚拟机自动重启了,如图21所示。

图21:系统自动重启

在虚拟机自动重启进入系统后,我们发现系统桌面上有很多软件的快捷方式,如音乐FM、女神联盟、武尊、唐门武尊、小新游戏、小新日历、今日新闻、点心浏览器、wjplay、Internet9块9包邮等,一下被推广安装了这么多软件,系统不卡才怪,如图22所示。

图22:系统被推广安装多个软件

此时,瑞星防火墙又拦截到系统的msiexec.exe请求联网,通过本机的1158端口连接远端的ip为2.20.183.168的80端口,如图23所示。

图23:瑞星防火墙拦截到msiexec.exe请求联网的提示

这里我们拒绝联网,还是甭联网了,指不定还会下载安装什么一些软件。来看一下系统开始菜单里被安装的程序列表,如图24所示,开始菜单里还有一个爱情智慧1.9等软件。

图24:开始菜单里的被推广安装的软件列表

这个虚拟磁盘专家软件就是一个流氓推广程序,软件的功能可以正常使用,颇具迷惑性,在程序的退出按钮上做文章,只要我们下载并使用这个软件,一旦退出就会触发程序联网并下载多个推广软件,并安装到系统中,造成系统出现卡、慢,同时还会修改浏览器的主页,从而

达到增加网址导航被访问的次数、提高导航流量的目的。如图24-1、24-2所示,我们打开系统的ie浏览器,发现浏览器的主页被修改为hao.6360.info。

图24-1:系统ie浏览器被篡改为hao.6360.info

图24-2:internet选项的主页位置被修改为hao.6360.info

我们再来看一下系统任务管理器,通过查看任务管理器,我们看到有很多应用程序在运行,如图25所示。

图25:任务管理器显示虚拟磁盘专家等程序正在运行

当前进程里有多个未知程序在运行,如图26所示。

图26:进程列表有多个未知程序,包括虚拟磁盘专家这个病毒程序

这说明在系统被安装推广多个软件后,这些软件多数被写入了系统启动项,实现了开机运行。我们使用xuetr来查看一下被写入的启动项有哪些,如图27所示。

图27:xuetr显示的多个推广软件写入的启动项

由于被安装的软件比较多,我们就不一一讲解如何来卸载了。简单提一下,可以通过这些软件自带的卸载来进行卸载,或者在控制面板添加删除程序里进行卸载,对于卸载不掉的软件可以使用xutre强删功能进行手动删除。另外,对于被写入的启动项,我们可以使用xutre工具删除即可。具体如何操作,可以参考之前的文章来实际操作一下,接下来主要讲解一下如何防范这类流氓推广软件。

流氓推广软件病毒的防范方法

如何来防范这种联网并自动下载多个软件的病毒呢?细心点的同学应该很快能猜到防范方法,就是安装防火墙软件。前面我们演示到在退出虚拟磁盘专家这个软件后,程序会有个联网的请求,由于虚拟机系统已经安装了瑞星防火墙软件,使得瑞星防火墙软件第一时间拦截到了未知程序联网的请求。瑞星防火墙对未知程序提供了两个选择:一是允许联网、二是拒绝联网。我们直接拒绝vdrive.exe联网就达到了防范的目的,使得流氓推广病毒不能联网。也就达到的病毒程序无法下载流氓软件并安装到系统的目的。如图28所示,我们直接在瑞星防火墙拦截到vdrive.exe请求联网处直接点拒绝联网并钩选以后均采用同样的处理方式。

图28:拒绝vdrive.exe联网

在我们拒绝vdrive.exe联网后,查看任务管理器vdrive.exe进程已退出,且也没有任何异常的进程在执行,如图29所示,说明我们使用瑞星防火墙成功地防范了流氓推广软件病毒。

图29:系统任务管理器没有vdrive.exe,且无可疑进程

所以,如果当我们如果碰到一个免杀的流氓推广软件病毒,在我们不小心运行后,瑞星防火墙是防止此类病毒执行的最后一道防线。所以,我们建议广大网民朋友,在安装使用杀毒软件的同时,也给系统安装一款防火墙软件。

一个猥琐的流氓推广软件病毒的简单分析病毒防范 -电脑资料

手机扫码分享

Top