‘九天’后门病毒行为分析

该病毒被捆绑在恶意Word文件中，病毒运行后会修改注册表，以实现开机自启动。同时，病毒将释放5个病毒程序，分别盗取用户的网银账密以及浏览器中存储的各类电子账号信息。除此之外，病毒还将后台连接黑客制定地址，进一步等待黑客发出的指令。用户电脑一旦中毒，将面临网银、微博、电子邮件等账号被盗，电脑沦为黑客肉鸡等威胁。

病毒样本介绍

File： 162333803_6845288e2be0be1adbc3a3d4c6aaaa63

MD5： 6845288e2be0be1adbc3a3d4c6aaaa63

Size： 489KB

瑞星杀毒软件v16报毒名称：Hack.Exploit.CVE-2012-0518.d（母体）

病毒样本截图如图1所示，这个样本实际是一个word文档。在我们打开这篇捆绑有恶意病毒程序的word文档过程时，会在系统临时文件夹下释放一个病毒程序，黑客或病毒作者利用word软件的漏洞（CVE-2012-0518）将恶意程序捆绑到word文档中。如果我们的系统没有安装CVE-2012-0518补丁，或没有安装反病毒安全软件，在打开捆绑有该恶意病毒程序的word文档时，就会触发病毒程序执行，电脑就会中毒，沦为黑客肉鸡。

图1： 病毒样本

在这里先解释一下：Hack.Exploit.CVE-2012-0518.d是瑞星杀毒软件v16对word文档报毒名称（既母体），而Dropper.Win32.NineDay.a是瑞星杀毒软件v16对word文档释放的病毒程序的报毒名称，本篇着重对Dropper.Win32.NineDay.a进行详细分析，瑞星v16杀毒软件对两个病毒程序报毒截图如图2所示。

图2：瑞星v16对母体word文档及释放的恶意程序报毒

病毒现象及处理方法

先将病毒样本重新命名为扩展名为doc的文件，如图3所示，之后双击打开word文档，当然，在做分析之前，照例我们需要先运行processmonitor工具，用此工具来监测病毒样本都有哪些行为。这次，我们对processmonitor工具不做任何过滤规则设置，双击打开重命名为doc的word文档，发现是一篇俄文文档，如图4所示。

图3：修改病毒样本扩展名为doc

图4：恶意程序捆绑到一篇俄语文档中

接下来我们看一下，processmonitor工具都监测到了病毒样本对系统做了哪些修改，由于我们没有做过滤规则设置，processmonitor工具监测到很多记录，先暂停一下捕获如图5所示，点击一下红框中的按钮，暂停捕获。捕获按钮上会出现一个红色的叉，说明已经将捕获暂停。

图5：暂停processmonitor工具的捕获功能

从图5我们看到，winword.exe的pid值为1332，我们点击processmonitor工具的过滤菜单，添加过滤规则pid为1332的规则，这样我们就可以清楚地查看winword.exe这个进程都做了哪些操作，如图6所示。

图6：添加winword.exe进程的过滤规则

如图7所示，添加规则后点应用、确定按钮，processmonitor工具自动将pid为1332的winword.exe所有操作都列出来。

图7：添加1332规则processmonitor工具列出winword所有操作

从图7来看，我们看到winword.exe做了一些如打开注册表键、查询注册表键等操作，这些都不是重点，分析病毒重点是病毒样本对系统做了哪些修改，例如写入文件及修改注册表键值等，因此我们再接着添加一条操作是写入文件的过滤规则，如图8所示。

图8：设置写入文件的过滤规则

如图9所示，我们按图8添加规则之后，发现了一条winword.exe向系统临时文件夹写入了一个temp.tmp的病毒文件，这个temp.tmp就是我们图2所示的那个瑞星v16报毒文件——Dropper.Win32.NineDay.a。

图9：winword.exe向系统临时文件夹写入的temp.tmp病毒文件

这里发现了病毒行为：打开这篇word文档会向系统临时目录释放一个temp.tmp的病毒文件。那么这个temp.tmp到底是如何创建的呢？我们再来分析一下winword.exe，通过processmonitor工具发现winword.exe会调用系统的cmd.exe，通过系统的cmd /c/q关闭回显的方式调用winword.exe来执行打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc也就是本例word文档，如图10所示。

图10：打开一篇word文档居然有cmd进程启动，很是可疑

我们右击这条记录点属性，如图11所示，我们看到cmd.exe的父pid为1332也就是winword.exe，同时在进程标签下，显示系统cmd.exe执行的命令行，如图12所示。

图11：cmd进程属性显示其父pid为1332，即winword.exe

图12：winword.exe调用系统cmd以隐式方式通过winword.exe打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc

cmd.exe的/c参数的意思是：执行字符串指定的命令然后终止，而/q参数的意思是关闭回显，也就是在执行命令行的时候不显示命令行窗口。这也是病毒惯用的手法，神不知鬼不觉地悄悄在后台运行。如图13所示，我们可以通过cmd/?来查看cmd命令的参数。

图13：cmd命令参数

实际上，我们在打开word文档的时候，这篇有问题的word文档会在后台调用主程序winword.exe用cmd命令关闭回显的方式执行这篇word文档中构造好的指定命令，在打开文档时，会在系统临时文件夹下释放出temp.tmp病毒文件。接下来，我们看一下释放的temp.tmp病毒程序都有哪些行为。我们删除之前设置的两条规则，让processmonitor列出所有捕获到记录，查找一下temp.tmp。如图14所示，temp.tmp进程pid为580，如法炮制，我们添加规则pid为580的规则。如图15所示，processmonitor列出所有pid值为580即temp.tmp的所有操作。

图14：temp.tmp进程pid值为580

图15：processmonitor列出temp.tmp的所有操作

同样，我们添加写入文件及修改注册表值的过滤规则，如图16所示。

图16：添加写入文件及修改注册表值的过滤规则

如图17所示，temp.tmp首先在c:/windows目录下写入文件~WRL0001l.tmp。

图17：temp.tmp写入文件C:/WINDOWS/~WRL0001l.tmp

同时还会在系统文件夹下，写入文件qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件，如图18所示。

图18：temp.tmp在系统临时文件夹下写入qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件

如图19所示，temp.tmp在系统临时文件夹下写入如下文件，amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf。

图19：temp.tmp在系统临时文件夹下写入amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf等文件

同时还添加了一个启动项HKCU/Software/Microsoft/Windows/CurrentVersion/Run/RTHDCPL1，如图20所示指向运行的程序为psrass.exe，从而达到开机自动启动的目的，如图21所示。

图20：temp.tmp写入启动项：RTHDCPL1

图21：temp.tmp将psrass.exe设置为开机启动项

我们通过md5对比工具发现amstreamx.tmp的md5值和psrass.exe的md5值一样，如图22、23所示，也就是说temp.tmp写入amstreamx.tmp后将其重命名为psrass.exe并设为开机自启动项。

图22：amstreamx.tmp的md5同psrass.exe

图23：psrass的md5值同amstreamx.tmp

至此，我们分析了temp.tmp的主要一些行为，既然有写入启动项，那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为，当然要重启电脑，在重启电脑前，为了更好地观察到重启之后病毒的一些行为，我们设置一下processmonitor工具，使用启用启动日志，具体设置方法如图24所示。

图24：勾选processmonitor工具的启用启动日志

勾选此项后，processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示，勾选这项后，在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示，会详细记录下重启电脑到开机启动的一些程序行为，当然也包括我们的想要看到的psrass.exe的行为。

图25：勾选启用启动日志时processmonitor弹出的提示

当我们重启电脑后，再次运行processmonitor工具就会提示是否保存启动时间活动日志，如图26所示。

图26：重启电脑再次运行processmonitor弹出保存日志提示

我们根据提示点击“是”来保存收集的数据，保存成功后processmonitor会自动将所有收集的数据都列出来，接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912，设置pid为1912的过滤规则，processmonitor列出所有psrass.exe的行为，如图27所示。

图27：启用启动日志时processmonitor监测到的psrass.exe病毒行为

我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作，看来这个psrass.exe会收集磁盘数据，我们截取了部分processmonitor监测到的psrass.exe查询操作记录，如图28所示，由于内容较多就不一一截图了。

图28：psrass.exe查询C:/Program Files目录数据

在所有的查询操作完毕之后，psrass.exe会创建C:/Documents and Settings/Administrator/Local Settings/Temp/desktopc.ini文件，psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中，如图29所示。

图29：psrass.exe向系统临时文件夹写入desktopc.ini文件

我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些，如图30所示，desktopc.ini文件内容被加密了，我们使用winhex工具打开这个被加密的文件，字符串的内容还是加密的。hex显示区内容有很多C3，如图31所示，有可能是XOR C3，我们尝试解密一下，在选中所有内容后右键点击Edit---Modify Data，在XOR出填写C3，如图32所示，点击确定后，我们在字符串区域看到了能够识别出的字符内容，如图33所示。

图30：desktopc.ini文件内容

图31：winhex打开加密的desktopc.ini文件

图32：解密加密内容填写异或值C3

图33：解密后desktopc.ini文件内容

我们可以使用winhex的导出功能将解密后的文件保存到txt文档中，就可以清楚地看出解密后的内容，如图34所示。

图34：psrass.exe会收集磁盘文件的大小，如红框中的pagefile.sys（786432K）

我们来验证一下解密后结果，是否和我们本机磁盘的pagefile.sys大小一样，如图35所示，果然一样。

图35：pagefile.sys大小同病毒写入desktopc.ini文件内容

我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分，进一步分析，我们发现psrass.exe会调用系统cmd命令去运行C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/~MV1DFG78.tmp，如图36所示。

图36：cmd.exe进程启动

我们右击图36红框中的那条记录，点击属性进行查看，如图37所示，我们看到cmd.exe的父进程pid为1912也就是psrass.exe。

图37：cmd.exe父进程pid为1912，即psrass.exe

点击图37的事件属性的进程标签，我们可以看到cmd命令行内容，如图38所示。

图38：psrass.exe调用cmd运行~MV1DFG78.tmp

~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件，接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe，发现原来~MV1DFG78.tmp是一个应用程序，如图39所示，直接双击运行一下，原来~MV1DFG78.tmp是一个Mail Passview工具，如图40所示。

图39：修改~MV1DFG78.tmp为~MV1DFG78.exe

图40：~MV1DFG78.exe运行截图

我们大胆猜想一下，之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢？答案毋庸置疑，如图41所示，我们将~WV3ECD59.tmp修改为~WV3ECD59.exe，直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具，如图42所示。

图41：修改~WV3ECD59.tmp为~WV3ECD59.exe

图42：~WV3ECD59.exe运行截图

不用说，~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的，如图43所示。

图43：psrass.exe调用cmd运行~WV3ECD59.tmp

到这里大家可能会有疑惑，我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处，释放了两个正常的mail账户信息和浏览器账户信息查看工具，利用这两个工具来查看本地相关账户信息，将查找的账户信息写入加密的配置文件，之后再发送到指定的黑客服务器上，从而达到盗号的目的。

最后简单说一下这个病毒处理，病毒处理起来比较简单，病毒文件都在系统临时文件夹目录下，我们直接使用xuetr工具的强制删除功能，将所有病毒文件删除即可，如图44所示。

图44：使用xuetr强制删除病毒文件

再将病毒写入的启动项信息删除即可，如图45所示。

图45：删除病毒启动项信息