专伤浏览器、会“自杀”的木马病毒样本简单分析

此病毒预警是由国家计算机病毒应急处理中心近期发布的，内容如下：近期出现一种恶意木马病毒，该程序会自我删除进行隐藏，向IE的收藏夹中释放URL资源地址快捷方式，强行篡改IE主页并下载其他木马、病毒等恶意程序。下面我们就简单分析一下这个病毒样本。

病毒样本简介

File：dndSet0.exe

Size：482kb

MD5：2204C5FA2F840C5C02605E9F628F8016

瑞星v16：Trojan.Win32.Generic.149277E0

病毒样本截图如图1所示，既然是国家计算机病毒应急处理中心发布的预警，瑞星v16当然肯定可以查杀此病毒样本，瑞星v16查杀该样本如图2所示。

图1：病毒样本

图2：瑞星v16查杀此病毒样本

病毒行为分析

本例讲解的病毒行为分析中所用到的工具是mymonitor，这是一款基于病毒API监控的工具，可以实现对于病毒程序运行过程的全程跟踪分析，并根据分析出的病毒行为得出分析报告，其特点包括：1、反映全部进程及子进程的API调用，2、查看文件读写、删除情况，3、查看注册表读写，4、线程模块调用，工具运行界面如图3所示。

图3：MyMonitor工具界面

如图3所示，我们简单介绍一下这个工具。这个工具运用起来很简单，界面分左右及上下共三个窗口，左侧窗口列出的是当前系统所有进程，右侧窗口是监控窗口，可以将我们要分析的样本直接拖到这个窗口。拖入这个窗口后病毒就会跑起来，而下面的日志窗口就会记录一些病毒的行为。工具运行后默认就处于监控状态，在使用这个工具前，我们要先来进行简单的设置，如设置保存删除文件的路径及生成报告的保存路径等，如图4所示。

图4：MyMonitor工具设置界面

设置好之后我们就可以将病毒样本拖到右侧的窗口，需要提醒一下的是，此工具最好在虚拟机下使用，以免实机运行后导致系统中毒。接下来，我们将本例病毒样本dndSet0.exe直接拖入右侧窗口，如图5所示，MyMonitor对病毒样本进入监控状态。

图5：MyMonitor对病毒样本的监控

为了更好地展示病毒行为，我们对MyMonitor工具事先做了设置，勾选创建进程前询问。随后我们将本例病毒样本dndSet0.exe直接拖入右侧窗口，MyMonitor工具立即弹出创建新进程的提示，如图6所示。

图6：MyMonitor工具弹出进程创建提示

根据MyMonitor工具提示，我们简单分析一下病毒行为，首先，dndSet0.exe要在系统临时目录下创建dndTMP文件夹，并向此文件夹下写入Fav~Url.tmp文件。当然，为了继续监控病毒行为，在这里我们点击是，也就是允许创建，允许创建后我们看一下MyMonitor工具后续又监控到了哪些病毒行为，如图7所示。

图7：Fav~Url.tmp向系统收藏夹下写入大量的url快捷方式

病毒行为之一：如上图所示，Fav~Url.tmp在向系统收藏夹写入如淘宝购物、驴家旅游等url快捷方式，主要用来对网站进行推广。如图8所示，显示出系统IE浏览器的收藏夹下被写入的推广网站的url快捷方式。

图8：IE浏览器收藏夹被写入大量的推广网站url快捷方式

Fav~Url.tmp在写入大量的推广网站url快捷方式之后就退出了，mymonitor工具监视到Fav~Url.tmp退出如图9所示。

图9：mymonitor监控到的Fav~Url.tmp退出行为

Fav~Url.tmp退出之后，mymonitor又监控到了病毒另一行为，如图10所示，调用命令行，并以隐藏命令行窗口的方式执行命令：C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx。

图10：mymonitor监控到的新的创建进程行为

根据命令提示大致可以猜测出病毒是想将系统临时目录下的fbinst.dll拷贝到C:/WINDOWS/dndOnce/并命名为SUPPORT.IM_，同样，为了继续观察病毒行为，在这里我们点击是，如图11所示，mymonitor监控到病毒行为。

图11：mymonitor监控到执行结果

在执行C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx命令行之后，mymonitor又监控到了病毒以隐藏命令行窗口的方式执行命令C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50&reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f，修改IE主页为http://www.hao123.com.vc，如图12所示。

图12：修改IE主页为http://www.hao123.com.vc

同样在这里点击是，允许病毒修改IE主页，点击是之后，我们来查看一下主页，如图13所示，IE浏览器主页被修改为http://www.hao123.com.vc，最终访问到的地址为http://www.hao123.com/?tn=43061099_195_hao_pg。

图13：IE主页被修改为http://www.hao123.com/?tn=43061099_195_hao_pg

简单解释一下图12的命令行。首先，病毒以隐藏命令行窗口的方式执行了“以发送50次回显请求数”，ping -n 50指ping时发送包的次数，这里为50次，本机回环地址为127.0.0.1，C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50这个命令行完成之后，使用reg注册表命令执行强制修改主页为http://www.hao123.com.vc，也就是“
&reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”这段命令行。

符号“&”应该是并列执行的意思，可以理解为：

1. 执行C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50

2. 执行C:/WINDOWS/system32/cmd.exe /c reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f

我们接下来再看看病毒在修改IE主页后又有哪些行为，mymonitor监控到病毒又执行了同样ping本机回环地址127.0.0.1还是50次，如图14所示。这里为什么又执行了ping的操作？估计应该是休眠延时，等待一会再执行后续的动作。

图14：执行ping操作

在成功执行ping操作后，mymonitor监控到病毒执行了自杀（删除病毒母体），同样还是隐藏命令行窗口方式“C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:/Documents and Settings/Administrator/桌面/dndSet0.exe"”，如图15所示。

图15：病毒执行删除病毒母体操作

在执行完删除病毒母体后，mymonitor未再有任何创建新进程的提示，也没有联网动作，看来是病毒执行完了，我们可以重启一下电脑，查看一下是否还有其他病毒行为。重启电脑发现只是IE主页被修改，IE收藏夹被写入大量推广网站的url快捷方式，接下来讲解一下病毒手动处理。

病毒处理

这个病毒行为很少，处理起来也相对简单，我们直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的电脑修复工具，扫描出IE主页注册表权限异常，如图16所示。

图16：瑞星安全助手扫描出IE主页异常

勾选此项，点立即修复，如图17所示，修复成功。

图17：使用瑞星安全助手成功修复IE异常主页

接下来使用瑞星安全助手的IE主页保护功能锁定一下自己喜欢的主页，这里推荐hao.rising.cn，如图18、19所示。

图18：使用瑞星安全助手锁定主页

图19：锁定IE主页为http://hao.rising.cn

最终IE主页被修改成功如图20所示。

图20：IE主页锁定成功

接下来再手动删除病毒在收藏夹里添加的推广网站url快捷方式，如图21所示。

图21：删除ie收藏夹里网站推广url快捷方式

手动删除IE收藏夹网站推广url后，IE收藏夹变得清爽多了，如图22所示。

图22：成功修复IE收藏夹