‘九天’后门病毒行为分析病毒防范 -电脑资料

时间:2011-08-08 09:27:23
染雾
分享
WORD下载 PDF下载 投诉

此病毒为瑞星网站安全周报中提到的需要用户关注的病毒,本文对该病毒的行为进行了详细的分析,

‘九天’后门病毒行为分析病毒防范

该病毒被捆绑在恶意Word文件中,病毒运行后会修改注册表,以实现开机自启动。同时,病毒将释放5个病毒程序,分别盗取用户的网银账密以及浏览器中存储的各类电子账号信息。除此之外,病毒还将后台连接 制定地址,进一步等待 发出的指令。用户电脑一旦中毒,将面临网银、微博、电子邮件等账号被盗,电脑沦为 肉鸡等威胁。

病毒样本介绍

File: 162333803_6845288e2be0be1adbc3a3d4c6aaaa63

MD5: 6845288e2be0be1adbc3a3d4c6aaaa63

Size: 489KB

瑞星杀毒软件v16报毒名称:Hack.Exploit.CVE-2012-0518.d(母体)

病毒样本截图如图1所示,这个样本实际是一个word文档。在我们打开这篇捆绑有恶意病毒程序的word文档过程时,会在系统临时文件夹下释放一个病毒程序, 或病毒作者利用word软件的漏洞(CVE-2012-0518)将恶意程序捆绑到word文档中。如果我们的系统没有安装CVE-2012-0518补丁,或没有安装反病毒安全软件,在打开捆绑有该恶意病毒程序的word文档时,就会触发病毒程序执行,电脑就会中毒,沦为 肉鸡。

图1: 病毒样本

在这里先解释一下:Hack.Exploit.CVE-2012-0518.d是瑞星杀毒软件v16对word文档报毒名称(既母体),而Dropper.Win32.NineDay.a是瑞星杀毒软件v16对word文档释放的病毒程序的报毒名称,本篇着重对Dropper.Win32.NineDay.a进行详细分析,瑞星v16杀毒软件对两个病毒程序报毒截图如图2所示。

图2:瑞星v16对母体word文档及释放的恶意程序报毒

病毒现象及处理方法

先将病毒样本重新命名为扩展名为doc的文件,如图3所示,之后双击打开word文档,当然,在做分析之前,照例我们需要先运行processmonitor工具,用此工具来监测病毒样本都有哪些行为。这次,我们对processmonitor工具不做任何过滤规则设置,双击打开重命名为doc的word文档,发现是一篇俄文文档,如图4所示。

图3:修改病毒样本扩展名为doc

图4:恶意程序捆绑到一篇俄语文档中

接下来我们看一下,processmonitor工具都监测到了病毒样本对系统做了哪些修改,由于我们没有做过滤规则设置,processmonitor工具监测到很多记录,先暂停一下捕获如图5所示,点击一下红框中的按钮,暂停捕获。捕获按钮上会出现一个红色的叉,说明已经将捕获暂停。

图5:暂停processmonitor工具的捕获功能

从图5我们看到,winword.exe的pid值为1332,我们点击processmonitor工具的过滤菜单,添加过滤规则pid为1332的规则,这样我们就可以清楚地查看winword.exe这个进程都做了哪些操作,如图6所示。

图6:添加winword.exe进程的过滤规则

如图7所示,添加规则后点应用、确定按钮,processmonitor工具自动将pid为1332的winword.exe所有操作都列出来。

图7:添加1332规则processmonitor工具列出winword所有操作

从图7来看,我们看到winword.exe做了一些如打开注册表键、查询注册表键等操作,这些都不是重点,分析病毒重点是病毒样本对系统做了哪些修改,例如写入文件及修改注册表键值等,因此我们再接着添加一条操作是写入文件的过滤规则,如图8所示。

图8:设置写入文件的过滤规则

如图9所示,我们按图8添加规则之后,发现了一条winword.exe向系统临时文件夹写入了一个temp.tmp的病毒文件,这个temp.tmp就是我们图2所示的那个瑞星v16报毒文件——Dropper.Win32.NineDay.a。

图9:winword.exe向系统临时文件夹写入的temp.tmp病毒文件

这里发现了病毒行为:打开这篇word文档会向系统临时目录释放一个temp.tmp的病毒文件。那么这个temp.tmp到底是如何创建的呢?我们再来分析一下winword.exe,通过processmonitor工具发现winword.exe会调用系统的cmd.exe,通过系统的cmd /c/q关闭回显的方式调用winword.exe来执行打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc也就是本例word文档,如图10所示。

图10:打开一篇word文档居然有cmd进程启动,很是可疑

我们右击这条记录点属性,如图11所示,我们看到cmd.exe的父pid为1332也就是winword.exe,同时在进程标签下,显示系统cmd.exe执行的命令行,如图12所示。

图11:cmd进程属性显示其父pid为1332,即winword.exe

图12:winword.exe调用系统cmd以隐式方式通过winword.exe打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc

cmd.exe的/c参数的意思是:执行字符串指定的命令然后终止,而/q参数的意思是关闭回显,也就是在执行命令行的时候不显示命令行窗口。这也是病毒惯用的手法,神不知鬼不觉地悄悄在后台运行。如图13所示,我们可以通过cmd/?来查看cmd命令的参数。

图13:cmd命令参数

实际上,我们在打开word文档的时候,这篇有问题的word文档会在后台调用主程序winword.exe用cmd命令关闭回显的方式执行这篇word文档中构造好的指定命令,在打开文档时,会在系统临时文件夹下释放出temp.tmp病毒文件。接下来,我们看一下释放的temp.tmp病毒程序都有哪些行为。我们删除之前设置的两条规则,让processmonitor列出所有捕获到记录,查找一下temp.tmp。如图14所示,temp.tmp进程pid为580,如法炮制,我们添加规则pid为580的规则。如图15所示,processmonitor列出所有pid值为580即temp.tmp的所有操作。

图14:temp.tmp进程pid值为580

图15:processmonitor列出temp.tmp的所有操作

同样,我们添加写入文件及修改注册表值的过滤规则,如图16所示。

图16:添加写入文件及修改注册表值的过滤规则

如图17所示,temp.tmp首先在c:\windows目录下写入文件~WRL0001l.tmp。

图17:temp.tmp写入文件C:\WINDOWS\~WRL0001l.tmp

同时还会在系统文件夹下,写入文件qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件,如图18所示。

图18:temp.tmp在系统临时文件夹下写入qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件

如图19所示,temp.tmp在系统临时文件夹下写入如下文件,amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf。

图19:temp.tmp在系统临时文件夹下写入amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf等文件

同时还添加了一个启动项HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RTHDCPL1,如图20所示指向运行的程序为psrass.exe,从而达到开机自动启动的目的,如图21所示,

电脑资料

《‘九天’后门病毒行为分析病毒防范》()。

图20:temp.tmp写入启动项:RTHDCPL1

图21:temp.tmp将psrass.exe设置为开机启动项

我们通过md5对比工具发现amstreamx.tmp的md5值和psrass.exe的md5值一样,如图22、23所示,也就是说temp.tmp写入amstreamx.tmp后将其重命名为psrass.exe并设为开机自启动项。

图22:amstreamx.tmp的md5同psrass.exe

图23:psrass的md5值同amstreamx.tmp

至此,我们分析了temp.tmp的主要一些行为,既然有写入启动项,那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为,当然要重启电脑,在重启电脑前,为了更好地观察到重启之后病毒的一些行为,我们设置一下processmonitor工具,使用启用启动日志,具体设置方法如图24所示。

图24:勾选processmonitor工具的启用启动日志

勾选此项后,processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示,勾选这项后,在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示,会详细记录下重启电脑到开机启动的一些程序行为,当然也包括我们的想要看到的psrass.exe的行为。

图25:勾选启用启动日志时processmonitor弹出的提示

当我们重启电脑后,再次运行processmonitor工具就会提示是否保存启动时间活动日志,如图26所示。

图26:重启电脑再次运行processmonitor弹出保存日志提示

我们根据提示点击“是”来保存收集的数据,保存成功后processmonitor会自动将所有收集的数据都列出来,接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912,设置pid为1912的过滤规则,processmonitor列出所有

psrass.exe的行为,如图27所示。

图27:启用启动日志时processmonitor监测到的psrass.exe病毒行为

我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作,看来这个psrass.exe会收集磁盘数据,我们截取了部分processmonitor监测到的psrass.exe查询操作记录,如图28所示,由于内容较多就不一一截图了。

图28:psrass.exe查询C:\Program Files目录数据

在所有的查询操作完毕之后,psrass.exe会创建C:\Documents and Settings\Administrator\Local Settings\Temp\desktopc.ini文件,psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中,如图29所示。

图29:psrass.exe向系统临时文件夹写入desktopc.ini文件

我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些,如图30所示,desktopc.ini文件内容被加密了,我们使用winhex工具打开这个被加密的文件,字符串的内容还是加密的。hex显示区内容有很多C3,如图31所示,有可能是XOR C3,我们尝试解密一下,在选中所有内容后右键点击Edit---Modify Data,在XOR出填写C3,如图32所示,点击确定后,我们在字符串区域看到了能够识别出的字符内容,如图33所示。

图30:desktopc.ini文件内容

图31:winhex打开加密的desktopc.ini文件

图32:解密加密内容填写异或值C3

图33:解密后desktopc.ini文件内容

我们可以使用winhex的导出功能将解密后的文件保存到txt文档中,就可以清楚地看出解密后的内容,如图34所示。

图34:psrass.exe会收集磁盘文件的大小,如红框中的pagefile.sys(786432K)

我们来验证一下解密后结果,是否和我们本机磁盘的pagefile.sys大小一样,如图35所示,果然一样。

图35:pagefile.sys大小同病毒写入desktopc.ini文件内容

我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分,进一步分析,我们发现psrass.exe会调用系统cmd命令去运行C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~MV1DFG78.tmp,如图36所示。

图36:cmd.exe进程启动

我们右击图36红框中的那条记录,点击属性进行查看,如图37所示,我们看到cmd.exe的父进程pid为1912也就是psrass.exe。

图37:cmd.exe父进程pid为1912,即psrass.exe

点击图37的事件属性的进程标签,我们可以看到cmd命令行内容,如图38所示。

图38:psrass.exe调用cmd运行~MV1DFG78.tmp

~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件,接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe,发现原来~MV1DFG78.tmp是一个应用程序,如图39所示,直接双击运行一下,原来~MV1DFG78.tmp是一个Mail Passview工具,如图40所示。

图39:修改~MV1DFG78.tmp为~MV1DFG78.exe

图40:~MV1DFG78.exe运行截图

我们大胆猜想一下,之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢?答案毋庸置疑,如图41所示,我们将~WV3ECD59.tmp修改为~WV3ECD59.exe,直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具,如图42所示。

图41:修改~WV3ECD59.tmp为~WV3ECD59.exe

图42:~WV3ECD59.exe运行截图

不用说,~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的,如图43所示。

图43:psrass.exe调用cmd运行~WV3ECD59.tmp

到这里大家可能会有疑惑,我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处,释放了两个正常的mail账户信息和浏览器账户信息查看工具,利用这两个工具来查看本地相关账户信息,将查找的账户信息写入加密的配置文件,之后再发送到指定的 服务器上,从而达到 的目的。

最后简单说一下这个病毒处理,病毒处理起来比较简单,病毒文件都在系统临时文件夹目录下,我们直接使用xuetr工具的强制删除功能,将所有病毒文件删除即可,如图44所示。

图44:使用xuetr强制删除病毒文件

再将病毒写入的启动项信息删除即可,如图45所示。

图45:删除病毒启动项信息

‘九天’后门病毒行为分析病毒防范 -电脑资料

手机扫码分享

Top