专伤浏览器、会“自杀”的木马病毒样本简单分析
此病毒预警是由国家计算机病毒应急处理中心近期发布的,内容如下:近期出现一种恶意木马病毒,该程序会自我删除进行隐藏,向IE的收藏夹中释放URL资源地址快捷方式,强行篡改IE主页并下载其他木马、病毒等恶意程序。下面我们就简单分析一下这个病毒样本。
病毒样本简介
File:dndSet0.exe
Size:482kb
MD5:2204C5FA2F840C5C02605E9F628F8016
瑞星v16:Trojan.Win32.Generic.149277E0
病毒样本截图如图1所示,既然是国家计算机病毒应急处理中心发布的预警,瑞星v16当然肯定可以查杀此病毒样本,瑞星v16查杀该样本如图2所示。
图1:病毒样本
图2:瑞星v16查杀此病毒样本
病毒行为分析
本例讲解的病毒行为分析中所用到的工具是mymonitor,这是一款基于病毒API监控的工具,可以实现对于病毒程序运行过程的全程跟踪分析,并根据分析出的病毒行为得出分析报告,其特点包括:1、反映全部进程及子进程的API调用,2、查看文件读写、删除情况,3、查看注册表读写,4、线程模块调用,工具运行界面如图3所示。
图3:MyMonitor工具界面
如图3所示,我们简单介绍一下这个工具。这个工具运用起来很简单,界面分左右及上下共三个窗口,左侧窗口列出的是当前系统所有进程,右侧窗口是监控窗口,可以将我们要分析的样本直接拖到这个窗口。拖入这个窗口后病毒就会跑起来,而下面的日志窗口就会记录一些病毒的行为。工具运行后默认就处于监控状态,在使用这个工具前,我们要先来进行简单的设置,如设置保存删除文件的路径及生成报告的保存路径等,如图4所示。
图4:MyMonitor工具设置界面
设置好之后我们就可以将病毒样本拖到右侧的窗口,需要提醒一下的是,此工具最好在虚拟机下使用,以免实机运行后导致系统中毒。接下来,我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,如图5所示,MyMonitor对病毒样本进入监控状态。
图5:MyMonitor对病毒样本的监控
为了更好地展示病毒行为,我们对MyMonitor工具事先做了设置,勾选创建进程前询问。随后我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,MyMonitor工具立即弹出创建新进程的提示,如图6所示。
图6:MyMonitor工具弹出进程创建提示
根据MyMonitor工具提示,我们简单分析一下病毒行为,首先,dndSet0.exe要在系统临时目录下创建dndTMP文件夹,并向此文件夹下写入Fav~Url.tmp文件。当然,为了继续监控病毒行为,在这里我们点击是,也就是允许创建,允许创建后我们看一下MyMonitor工具后续又监控到了哪些病毒行为,如图7所示。
图7:Fav~Url.tmp向系统收藏夹下写入大量的url快捷方式
病毒行为之一:如上图所示,Fav~Url.tmp在向系统收藏夹写入如淘宝购物、驴家旅游等url快捷方式,主要用来对网站进行推广。如图8所示,显示出系统IE浏览器的收藏夹下被写入的推广网站的url快捷方式。
图8:IE浏览器收藏夹被写入大量的推广网站url快捷方式
Fav~Url.tmp在写入大量的推广网站url快捷方式之后就退出了,mymonitor工具监视到Fav~Url.tmp退出如图9所示。
图9:mymonitor监控到的Fav~Url.tmp退出行为
Fav~Url.tmp退出之后,mymonitor又监控到了病毒另一行为,如图10所示,调用命令行,并以隐藏命令行窗口的方式执行命令:C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx。
图10:mymonitor监控到的新的创建进程行为
根据命令提示大致可以猜测出病毒是想将系统临时目录下的fbinst.dll拷贝到C:/WINDOWS/dndOnce/并命名为SUPPORT.IM_,同样,为了继续观察病毒行为,在这里我们点击是,如图11所示,mymonitor监控到病毒行为。
图11:mymonitor监控到执行结果
在执行C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx命令行之后,mymonitor又监控到了病毒以隐藏命令行窗口的方式执行命令C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f,修改IE主页为http://www.hao123.com.vc,如图12所示。
图12:修改IE主页为http://www.hao123.com.vc
同样在这里点击是,允许病毒修改IE主页,点击是之后,我们来查看一下主页,如图13所示,IE浏览器主页被修改为http://www.hao123.com.vc,最终访问到的地址为http://www.hao123.com/?tn=43061099_195_hao_pg。
图13:IE主页被修改为http://www.hao123.com/?tn=43061099_195_hao_pg
简单解释一下图12的命令行。首先,病毒以隐藏命令行窗口的方式执行了“以发送50次回显请求数”,ping -n 50指ping时发送包的次数,这里为50次,本机回环地址为127.0.0.1,C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50这个命令行完成之后,使用reg注册表命令执行强制修改主页为http://www.hao123.com.vc,也就是“
® add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”这段命令行。
符号“&”应该是并列执行的意思,可以理解为:
1. 执行C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50
2. 执行C:/WINDOWS/system32/cmd.exe /c reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f
我们接下来再看看病毒在修改IE主页后又有哪些行为,mymonitor监控到病毒又执行了同样ping本机回环地址127.0.0.1还是50次,如图14所示。这里为什么又执行了ping的操作?估计应该是休眠延时,等待一会再执行后续的动作。
图14:执行ping操作
在成功执行ping操作后,mymonitor监控到病毒执行了自杀(删除病毒母体),同样还是隐藏命令行窗口方式“C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:/Documents and Settings/Administrator/桌面/dndSet0.exe"”,如图15所示。
图15:病毒执行删除病毒母体操作
在执行完删除病毒母体后,mymonitor未再有任何创建新进程的提示,也没有联网动作,看来是病毒执行完了,我们可以重启一下电脑,查看一下是否还有其他病毒行为。重启电脑发现只是IE主页被修改,IE收藏夹被写入大量推广网站的url快捷方式,接下来讲解一下病毒手动处理。
病毒处理
这个病毒行为很少,处理起来也相对简单,我们直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的电脑修复工具,扫描出IE主页注册表权限异常,如图16所示。
图16:瑞星安全助手扫描出IE主页异常
勾选此项,点立即修复,如图17所示,修复成功。
图17:使用瑞星安全助手成功修复IE异常主页
接下来使用瑞星安全助手的IE主页保护功能锁定一下自己喜欢的主页,这里推荐hao.rising.cn,如图18、19所示。
图18:使用瑞星安全助手锁定主页
图19:锁定IE主页为http://hao.rising.cn
最终IE主页被修改成功如图20所示。
图20:IE主页锁定成功
接下来再手动删除病毒在收藏夹里添加的推广网站url快捷方式,如图21所示。
图21:删除ie收藏夹里网站推广url快捷方式
手动删除IE收藏夹网站推广url后,IE收藏夹变得清爽多了,如图22所示。
图22:成功修复IE收藏夹
- 08-05Rootkit隐藏进程和端口检测
- 08-05在基于意图的隔离面前 零信任也认怂
- 08-05拼多多一夜被薅200多亿?
- 08-05你已关闭了的浏览器还可能被利用来挖矿, chrome已中招
- 08-05用Ftype命令让病毒白白运行
- 08-05天才黑客:2个学位 会开飞机 工作在NASA 年仅17
- 11-06深度揭秘黑客6种常见攻击方式
- 09-23黑客高手教您如何预防流量僵尸?
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复