染雾
今天我们要分析一个虚拟磁盘工具软件,这个病毒样本运行后看起来是正常应用程序,但当我们退出这个程序后,后续会发生一系列令人意想不到的事情,
一个猥琐的流氓推广软件病毒的简单分析病毒防范
。在之前的瑞星安全月刊中,我们曾经写到过一篇“红米5秒抢购ID器”木马简单分析文章,这个抢购器实际上就是一个软件推广的木马病毒,运行后会给正常的系统下载并安装很多垃圾软件,这些垃圾软件也不容易卸载掉。今天,我们要分析一个虚拟磁盘工具软件,这个病毒样本运行后看起来是正常应用程序,但当我们退出这个程序后,后续会发生一系列令人意想不到的事情,下面就来简单分析一下这个样本。
病毒样本介绍
File:VDrive.exe
Size:92kb
MD5:CD1F8F81B75D07332E43E023FE7CD559
瑞星v16+报毒名称:Trojan.Win32.Generic.1677219F
此病毒样本截图如图1所示,瑞星v16查杀该样本截图如图2所示。
图1: 病毒样本
图2: 瑞星V16+查杀该样本截图
病毒样本行为分析
我们直接在虚拟机下直接双击运行VDdrive.exe,弹出一个首次使用虚拟磁盘专家,需要添加右键菜单的提示,如图3所示。
图3:运行病毒样本后弹出添加右键菜单提示
我们点击是按钮,弹出了虚拟磁盘专家的程序主界面,如图4所示。
图4:虚拟磁盘专家程序主界面
从图4来看,这似乎就是一个正常的虚拟磁盘专家软件,并没有什么异常现象。我们来尝试简单使用一下这个软件,先设置一下虚拟的文件路径,点击如图4-1所示的按钮,弹出想要创建的虚拟磁盘需要设置的文件路径对话框,如图5所示。
图4-1:设置虚拟的文件路径
图5:设置虚拟的文件路径为c:\新建文件夹
由于虚拟机只一个分区,故我们就在c盘根目录下新建一个文件夹,指定为虚拟的文件路径,点图5确定按钮后,就设置成功了虚拟的文件路径,如图6所示。
图6: 设置虚拟的文件路径为c:\新建文件夹,并将可分配的磁盘设置为E盘
按照图6的设置后,我们点创建按钮来创建一个虚拟磁盘,如图7所示,点创建后,软件提示“当前虚拟盘E:创建成功”。
图7:成功创建虚拟磁盘E:
点图7的确定按钮后,在当前在使用的虚拟磁盘显示出磁盘及其对应的物理路径,如图8所示。
图8:软件显示的虚拟磁盘盘符及物理路径
我们查看我的电脑,发现多了一个E盘,如图9所示,说明成功创建了虚拟磁盘。
图9:使用虚拟磁盘专家创建的虚拟磁盘E:
我们双击打开E盘,发现能正常打开,里面没有任何数据,如图10所示。
图10:打开的虚拟磁盘E:
到此我们验证了这个虚拟磁盘专家软件可以正常创建虚拟磁盘,下面再看一下创建好的虚拟磁盘是否能正常删除。该软件也提供了正常删除功能,我们选中当前在使用的虚拟磁盘,点删除按钮,如图11所示。
图11:删除创建的虚拟磁盘
点删除后,软件会提示是否确认要删除当前虚拟磁盘E:,如图12所示。
图12: 确认是否要删除创建的虚拟磁盘
这样看起来,这个软件做得还是比较正规的,怎么看都不像是病毒。点是按钮,查看是否能正常删除创建的虚拟磁盘,随后软件提示当前虚拟磁盘已删除,如图13所示。
图13:提示当前虚拟磁盘已删除
再来看我的电脑磁盘只剩一个系统C盘,之前创建的虚拟磁盘E已经被成功删除,如图14所示。
图14:创建的虚拟磁盘E成功被删除
到这里我们先后验证了这个软件的创建功能和删除功能都很正常。大家可能会疑惑,刚开始为什么通篇的都是演示虚拟磁盘专家这个软件的使用功能呢?并没有看到病毒的行为,我们前面的一大堆的演示,只是想证明一下这个软件的前两个功能都是正常的,这也是这个软件迷惑人的地方,但如果这时你认为这就是一个正常的虚拟磁盘软件,那就大错特错了。接下来,我们再来看一下软件退出功能,你将会看到一些意想不到的事情。我们点击虚拟磁盘专家软件主界面的退出按钮,我们虚拟机里安装的瑞星V16防火墙弹出一个VDrive.exe联网的提示,如图15所示。
图15:点击退出按钮后,瑞星防火墙拦截到虚拟磁盘专家软件请求联网
一个正常使用的软件为什么在软件退出后,会提示要联网呢?很可疑哟!从图15来看,vdrive.exe要通过本机的1140端口联网,连接远端ip为211.101.12.49的80端口。这里我们点击允许联网,在点击允许联网后,ie浏览器自动打开一个hao.6360.info的导航网址,如图16所示。
图16:在允许vdrive.exe联网后,ie浏览器自动打开hao.6360.info的网址导航
紧接着,瑞星防火墙又拦截到一个可疑程序axukr.exe要进行联网操作,通过本机的1176端口,同样要连接远端的ip为211.101.12.49的80端口,如图17所示。
图17:瑞星防火墙拦截到可疑程序axukr.exe要进行联网操作
从图17来看,axukre.exe的路径很可能是C:\Documents and Settings\Administrator\桌面\virus,我们直接查看一下这个路径下是否有axukr.exe,
电脑资料
《一个猥琐的流氓推广软件病毒的简单分析病毒防范》()。如图17-1所示,果然在C:\Documents and Settings\Administrator\桌面\virus下有这个文件axukre.exe。
图17-1:vdrive.exe联网后下载axukr.exe到和它同一路径的位置
我们点击图17中的允许联网按钮,同意让axukr.exe联网之后,系统托盘右下角弹出一个是否添加“音乐FM”开启启动项的提示,如图18所示。
图18:系统托盘弹出添加音乐FM开机启动的提示
看来在允许axukr.exe联网后,给系统快速下载并安装了音乐FM这个软件。同时,系统又自动打开一个点心浏览器,访问的网址为hao123的导航,并提示是否将点心浏览器设置为默认浏览器。如图19所示,悄无声息地给系统快速安装了点心浏览器,这就是流氓软件推广啊!这什么点心浏览器听都没有听说过。
图19:系统自动打开点心浏览器并访问hao123导航
由于我们允许axukr.exe联网,才导致这个流氓推广软件,下载了多个不知名的软件快速安装到了虚拟机里,导致虚拟机很卡。这也是流氓推广软件特性之一,我们只截取了部分被安装软件的截图,图20是我们截取到的酷播软件的在线安装界面。
图20:弹出的酷播在线安装的界面
终于,病毒在给系统安装多个软件之后,操作系统不堪重负,导致测试虚拟机自动重启了,如图21所示。
图21:系统自动重启
在虚拟机自动重启进入系统后,我们发现系统桌面上有很多软件的快捷方式,如音乐FM、女神联盟、武尊、唐门武尊、小新游戏、小新日历、今日新闻、点心浏览器、wjplay、Internet9块9包邮等,一下被推广安装了这么多软件,系统不卡才怪,如图22所示。
图22:系统被推广安装多个软件
此时,瑞星防火墙又拦截到系统的msiexec.exe请求联网,通过本机的1158端口连接远端的ip为2.20.183.168的80端口,如图23所示。
图23:瑞星防火墙拦截到msiexec.exe请求联网的提示
这里我们拒绝联网,还是甭联网了,指不定还会下载安装什么一些软件。来看一下系统开始菜单里被安装的程序列表,如图24所示,开始菜单里还有一个爱情智慧1.9等软件。
图24:开始菜单里的被推广安装的软件列表
这个虚拟磁盘专家软件就是一个流氓推广程序,软件的功能可以正常使用,颇具迷惑性,在程序的退出按钮上做文章,只要我们下载并使用这个软件,一旦退出就会触发程序联网并下载多个推广软件,并安装到系统中,造成系统出现卡、慢,同时还会修改浏览器的主页,从而
图24-1:系统ie浏览器被篡改为hao.6360.info
图24-2:internet选项的主页位置被修改为hao.6360.info
我们再来看一下系统任务管理器,通过查看任务管理器,我们看到有很多应用程序在运行,如图25所示。
图25:任务管理器显示虚拟磁盘专家等程序正在运行
当前进程里有多个未知程序在运行,如图26所示。
图26:进程列表有多个未知程序,包括虚拟磁盘专家这个病毒程序
这说明在系统被安装推广多个软件后,这些软件多数被写入了系统启动项,实现了开机运行。我们使用xuetr来查看一下被写入的启动项有哪些,如图27所示。
图27:xuetr显示的多个推广软件写入的启动项
由于被安装的软件比较多,我们就不一一讲解如何来卸载了。简单提一下,可以通过这些软件自带的卸载来进行卸载,或者在控制面板添加删除程序里进行卸载,对于卸载不掉的软件可以使用xutre强删功能进行手动删除。另外,对于被写入的启动项,我们可以使用xutre工具删除即可。具体如何操作,可以参考之前的文章来实际操作一下,接下来主要讲解一下如何防范这类流氓推广软件。
流氓推广软件病毒的防范方法
如何来防范这种联网并自动下载多个软件的病毒呢?细心点的同学应该很快能猜到防范方法,就是安装防火墙软件。前面我们演示到在退出虚拟磁盘专家这个软件后,程序会有个联网的请求,由于虚拟机系统已经安装了瑞星防火墙软件,使得瑞星防火墙软件第一时间拦截到了未知程序联网的请求。瑞星防火墙对未知程序提供了两个选择:一是允许联网、二是拒绝联网。我们直接拒绝vdrive.exe联网就达到了防范的目的,使得流氓推广病毒不能联网。也就达到的病毒程序无法下载流氓软件并安装到系统的目的。如图28所示,我们直接在瑞星防火墙拦截到vdrive.exe请求联网处直接点拒绝联网并钩选以后均采用同样的处理方式。
图28:拒绝vdrive.exe联网
在我们拒绝vdrive.exe联网后,查看任务管理器vdrive.exe进程已退出,且也没有任何异常的进程在执行,如图29所示,说明我们使用瑞星防火墙成功地防范了流氓推广软件病毒。
图29:系统任务管理器没有vdrive.exe,且无可疑进程
所以,如果当我们如果碰到一个免杀的流氓推广软件病毒,在我们不小心运行后,瑞星防火墙是防止此类病毒执行的最后一道防线。所以,我们建议广大网民朋友,在安装使用杀毒软件的同时,也给系统安装一款防火墙软件。
