‘九天’后门病毒行为分析
该病毒被捆绑在恶意Word文件中,病毒运行后会修改注册表,以实现开机自启动。同时,病毒将释放5个病毒程序,分别盗取用户的网银账密以及浏览器中存储的各类电子账号信息。除此之外,病毒还将后台连接黑客制定地址,进一步等待黑客发出的指令。用户电脑一旦中毒,将面临网银、微博、电子邮件等账号被盗,电脑沦为黑客肉鸡等威胁。
病毒样本介绍
File: 162333803_6845288e2be0be1adbc3a3d4c6aaaa63
MD5: 6845288e2be0be1adbc3a3d4c6aaaa63
Size: 489KB
瑞星杀毒软件v16报毒名称:Hack.Exploit.CVE-2012-0518.d(母体)
病毒样本截图如图1所示,这个样本实际是一个word文档。在我们打开这篇捆绑有恶意病毒程序的word文档过程时,会在系统临时文件夹下释放一个病毒程序,黑客或病毒作者利用word软件的漏洞(CVE-2012-0518)将恶意程序捆绑到word文档中。如果我们的系统没有安装CVE-2012-0518补丁,或没有安装反病毒安全软件,在打开捆绑有该恶意病毒程序的word文档时,就会触发病毒程序执行,电脑就会中毒,沦为黑客肉鸡。
图1: 病毒样本
在这里先解释一下:Hack.Exploit.CVE-2012-0518.d是瑞星杀毒软件v16对word文档报毒名称(既母体),而Dropper.Win32.NineDay.a是瑞星杀毒软件v16对word文档释放的病毒程序的报毒名称,本篇着重对Dropper.Win32.NineDay.a进行详细分析,瑞星v16杀毒软件对两个病毒程序报毒截图如图2所示。
图2:瑞星v16对母体word文档及释放的恶意程序报毒
病毒现象及处理方法
先将病毒样本重新命名为扩展名为doc的文件,如图3所示,之后双击打开word文档,当然,在做分析之前,照例我们需要先运行processmonitor工具,用此工具来监测病毒样本都有哪些行为。这次,我们对processmonitor工具不做任何过滤规则设置,双击打开重命名为doc的word文档,发现是一篇俄文文档,如图4所示。
图3:修改病毒样本扩展名为doc
图4:恶意程序捆绑到一篇俄语文档中
接下来我们看一下,processmonitor工具都监测到了病毒样本对系统做了哪些修改,由于我们没有做过滤规则设置,processmonitor工具监测到很多记录,先暂停一下捕获如图5所示,点击一下红框中的按钮,暂停捕获。捕获按钮上会出现一个红色的叉,说明已经将捕获暂停。
图5:暂停processmonitor工具的捕获功能
从图5我们看到,winword.exe的pid值为1332,我们点击processmonitor工具的过滤菜单,添加过滤规则pid为1332的规则,这样我们就可以清楚地查看winword.exe这个进程都做了哪些操作,如图6所示。
图6:添加winword.exe进程的过滤规则
如图7所示,添加规则后点应用、确定按钮,processmonitor工具自动将pid为1332的winword.exe所有操作都列出来。
图7:添加1332规则processmonitor工具列出winword所有操作
从图7来看,我们看到winword.exe做了一些如打开注册表键、查询注册表键等操作,这些都不是重点,分析病毒重点是病毒样本对系统做了哪些修改,例如写入文件及修改注册表键值等,因此我们再接着添加一条操作是写入文件的过滤规则,如图8所示。
图8:设置写入文件的过滤规则
如图9所示,我们按图8添加规则之后,发现了一条winword.exe向系统临时文件夹写入了一个temp.tmp的病毒文件,这个temp.tmp就是我们图2所示的那个瑞星v16报毒文件——Dropper.Win32.NineDay.a。
图9:winword.exe向系统临时文件夹写入的temp.tmp病毒文件
这里发现了病毒行为:打开这篇word文档会向系统临时目录释放一个temp.tmp的病毒文件。那么这个temp.tmp到底是如何创建的呢?我们再来分析一下winword.exe,通过processmonitor工具发现winword.exe会调用系统的cmd.exe,通过系统的cmd /c/q关闭回显的方式调用winword.exe来执行打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc也就是本例word文档,如图10所示。
图10:打开一篇word文档居然有cmd进程启动,很是可疑
我们右击这条记录点属性,如图11所示,我们看到cmd.exe的父pid为1332也就是winword.exe,同时在进程标签下,显示系统cmd.exe执行的命令行,如图12所示。
图11:cmd进程属性显示其父pid为1332,即winword.exe
图12:winword.exe调用系统cmd以隐式方式通过winword.exe打开162333803_6845288e2be0be1adbc3a3d4c6aaaa63.doc
cmd.exe的/c参数的意思是:执行字符串指定的命令然后终止,而/q参数的意思是关闭回显,也就是在执行命令行的时候不显示命令行窗口。这也是病毒惯用的手法,神不知鬼不觉地悄悄在后台运行。如图13所示,我们可以通过cmd/?来查看cmd命令的参数。
图13:cmd命令参数
实际上,我们在打开word文档的时候,这篇有问题的word文档会在后台调用主程序winword.exe用cmd命令关闭回显的方式执行这篇word文档中构造好的指定命令,在打开文档时,会在系统临时文件夹下释放出temp.tmp病毒文件。接下来,我们看一下释放的temp.tmp病毒程序都有哪些行为。我们删除之前设置的两条规则,让processmonitor列出所有捕获到记录,查找一下temp.tmp。如图14所示,temp.tmp进程pid为580,如法炮制,我们添加规则pid为580的规则。如图15所示,processmonitor列出所有pid值为580即temp.tmp的所有操作。
图14:temp.tmp进程pid值为580
图15:processmonitor列出temp.tmp的所有操作
同样,我们添加写入文件及修改注册表值的过滤规则,如图16所示。
图16:添加写入文件及修改注册表值的过滤规则
如图17所示,temp.tmp首先在c:/windows目录下写入文件~WRL0001l.tmp。
图17:temp.tmp写入文件C:/WINDOWS/~WRL0001l.tmp
同时还会在系统文件夹下,写入文件qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件,如图18所示。
图18:temp.tmp在系统临时文件夹下写入qedwipxz.dll、~MV1DFG78.tmp、~WV3ECD59.tmp等文件
如图19所示,temp.tmp在系统临时文件夹下写入如下文件,amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf。
图19:temp.tmp在系统临时文件夹下写入amstreamx.tmp、psrass.exe、cewmdmx.dll、desktopk.inf等文件
同时还添加了一个启动项HKCU/Software/Microsoft/Windows/CurrentVersion/Run/RTHDCPL1,如图20所示指向运行的程序为psrass.exe,从而达到开机自动启动的目的,如图21所示。
图20:temp.tmp写入启动项:RTHDCPL1
图21:temp.tmp将psrass.exe设置为开机启动项
我们通过md5对比工具发现amstreamx.tmp的md5值和psrass.exe的md5值一样,如图22、23所示,也就是说temp.tmp写入amstreamx.tmp后将其重命名为psrass.exe并设为开机自启动项。
图22:amstreamx.tmp的md5同psrass.exe
图23:psrass的md5值同amstreamx.tmp
至此,我们分析了temp.tmp的主要一些行为,既然有写入启动项,那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为,当然要重启电脑,在重启电脑前,为了更好地观察到重启之后病毒的一些行为,我们设置一下processmonitor工具,使用启用启动日志,具体设置方法如图24所示。
图24:勾选processmonitor工具的启用启动日志
勾选此项后,processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示,勾选这项后,在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示,会详细记录下重启电脑到开机启动的一些程序行为,当然也包括我们的想要看到的psrass.exe的行为。
图25:勾选启用启动日志时processmonitor弹出的提示
当我们重启电脑后,再次运行processmonitor工具就会提示是否保存启动时间活动日志,如图26所示。
图26:重启电脑再次运行processmonitor弹出保存日志提示
我们根据提示点击“是”来保存收集的数据,保存成功后processmonitor会自动将所有收集的数据都列出来,接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912,设置pid为1912的过滤规则,processmonitor列出所有psrass.exe的行为,如图27所示。
图27:启用启动日志时processmonitor监测到的psrass.exe病毒行为
我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作,看来这个psrass.exe会收集磁盘数据,我们截取了部分processmonitor监测到的psrass.exe查询操作记录,如图28所示,由于内容较多就不一一截图了。
图28:psrass.exe查询C:/Program Files目录数据
在所有的查询操作完毕之后,psrass.exe会创建C:/Documents and Settings/Administrator/Local Settings/Temp/desktopc.ini文件,psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中,如图29所示。
图29:psrass.exe向系统临时文件夹写入desktopc.ini文件
我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些,如图30所示,desktopc.ini文件内容被加密了,我们使用winhex工具打开这个被加密的文件,字符串的内容还是加密的。hex显示区内容有很多C3,如图31所示,有可能是XOR C3,我们尝试解密一下,在选中所有内容后右键点击Edit---Modify Data,在XOR出填写C3,如图32所示,点击确定后,我们在字符串区域看到了能够识别出的字符内容,如图33所示。
图30:desktopc.ini文件内容
图31:winhex打开加密的desktopc.ini文件
图32:解密加密内容填写异或值C3
图33:解密后desktopc.ini文件内容
我们可以使用winhex的导出功能将解密后的文件保存到txt文档中,就可以清楚地看出解密后的内容,如图34所示。
图34:psrass.exe会收集磁盘文件的大小,如红框中的pagefile.sys(786432K)
我们来验证一下解密后结果,是否和我们本机磁盘的pagefile.sys大小一样,如图35所示,果然一样。
图35:pagefile.sys大小同病毒写入desktopc.ini文件内容
我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分,进一步分析,我们发现psrass.exe会调用系统cmd命令去运行C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/~MV1DFG78.tmp,如图36所示。
图36:cmd.exe进程启动
我们右击图36红框中的那条记录,点击属性进行查看,如图37所示,我们看到cmd.exe的父进程pid为1912也就是psrass.exe。
图37:cmd.exe父进程pid为1912,即psrass.exe
点击图37的事件属性的进程标签,我们可以看到cmd命令行内容,如图38所示。
图38:psrass.exe调用cmd运行~MV1DFG78.tmp
~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件,接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe,发现原来~MV1DFG78.tmp是一个应用程序,如图39所示,直接双击运行一下,原来~MV1DFG78.tmp是一个Mail Passview工具,如图40所示。
图39:修改~MV1DFG78.tmp为~MV1DFG78.exe
图40:~MV1DFG78.exe运行截图
我们大胆猜想一下,之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢?答案毋庸置疑,如图41所示,我们将~WV3ECD59.tmp修改为~WV3ECD59.exe,直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具,如图42所示。
图41:修改~WV3ECD59.tmp为~WV3ECD59.exe
图42:~WV3ECD59.exe运行截图
不用说,~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的,如图43所示。
图43:psrass.exe调用cmd运行~WV3ECD59.tmp
到这里大家可能会有疑惑,我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处,释放了两个正常的mail账户信息和浏览器账户信息查看工具,利用这两个工具来查看本地相关账户信息,将查找的账户信息写入加密的配置文件,之后再发送到指定的黑客服务器上,从而达到盗号的目的。
最后简单说一下这个病毒处理,病毒处理起来比较简单,病毒文件都在系统临时文件夹目录下,我们直接使用xuetr工具的强制删除功能,将所有病毒文件删除即可,如图44所示。
图44:使用xuetr强制删除病毒文件
再将病毒写入的启动项信息删除即可,如图45所示。
图45:删除病毒启动项信息
- 08-05Rootkit隐藏进程和端口检测
- 08-05在基于意图的隔离面前 零信任也认怂
- 08-05拼多多一夜被薅200多亿?
- 08-05你已关闭了的浏览器还可能被利用来挖矿, chrome已中招
- 08-05用Ftype命令让病毒白白运行
- 08-05天才黑客:2个学位 会开飞机 工作在NASA 年仅17
- 11-06深度揭秘黑客6种常见攻击方式
- 09-23黑客高手教您如何预防流量僵尸?
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复