一个DDOS病毒的分析(一)
一、基本信息
樣本名稱:Rub.EXE
樣本大小:21504?字節
病毒名稱:Trojan.Win32.Rootkit.hv
加殼情況:UPX(3.07)
樣本MD5:035C1ADA4BACE78DD104CB0E1D184043
樣本SHA1:?BAD1CE555443FC43484E0FACF8B88EA8756F78CB
?
病毒文件的組成:
病毒母體文件Rub.EXE???MD5:035C1ADA4BACE78DD104CB0E1D184043
病毒母體釋放的文件owwesc.exe(隨機字母組成的文件名并且是病毒母體Rub.EXE脫UPX殼后的文件)?MD5:?CC7E53EBCE40AC0BFE07FAF3592C210A
病毒母體釋放的文件hra33.dll??MD5:?5B845C6FDB4903ED457B1447F4549CF0
二、樣本脫殼
對病毒母體文件Rub.EXE進行查殼,使用DIE.exe查殼軟件查殼的結果如下。病毒母體文件被加了UPX殼,并且病毒的開發工具Microsoft?Visual?C/C++(6.0)。UPX殼脫殼難度不大,根據脫殼的ESP定律,對病毒母體文件進行脫殼處理,然后開始對脫殼的病毒母體文件進行病毒的行為分析。
三、樣本病毒行為分析
1.?嘗試打開注冊表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR",判斷該注冊表是否存在。
2.?如果注冊表項"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR"存在則為主線程設置服務派遣例程。
2.1?下面詳細的分析病毒進程設置的服務派遣例程的行為。
2.1.1?為主線程服務控制設置服務請求處理過程函數,服務請求處理函數根據相關的控制命令nServiceControlStatus設置服務的狀態。
2.1.2?創建信號互斥量".Net?CLR",防止病毒行為的二次執行。
2.1.3?枚舉病毒進程文件的資源,獲取類型為0xA的資源,其實該資源就是一個PE文件。
2.1.4?使用獲取到的0xA類型的資源在系統目錄C:\WINDOWS\system32下釋放病毒文件C:\WINDOWS\system32\hra33.dll,然后修改hra33.dll文件的頭2個字節為"MZ",恢復"hra.dll"為正常的PE文件。
2.1.5 ?查詢注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR?項ImagePath對應的鏡像文件ImageFile;以資源更新或者替換的方式修改該鏡像文件IamgeFile的語言資源為病毒文件C:\WINDOWS\system32\hra33.dll的數據。
2.1.6 ?加載動態庫文件C:\WINDOWS\system32\hra33.dll,然后連續創建3個病毒線程,對用戶的電腦進行肆意的破壞。
======================================================================
線程1?的病毒行為是?利用IPC$在用戶的本地主機服務器上種植病毒。
1. ?獲取用戶本地主機的標準主機名,然后根據獲取的主機名遍歷獲取本地主機名對應的所有的IP地址和端口信息。
2.?對獲取的用戶的本地主機的IP地址和端口號循環的進行弱口令的登錄測試,嘗試入侵到本地主機服務器上進行后面的植入病毒文件的操作。
3.?如果弱口令登錄入侵用戶本地主機服務器成功則向用戶的本地主機服務器植入病毒文件,然后運行病毒文件,創建病毒進程,對用戶的本地主機服務器進行肆意的破壞。
======================================================================
線程2?的病毒行為是?創建很多死循環的網絡操作等的線程,獲取用戶的電腦的操作系統信息、CPU的信息、內存的信息、網絡流量的信息,創建網絡套接字主動連接病毒作者的服務器,將這些信息發送給病毒作者,因此用戶的電腦也變成了“肉雞”被病毒作者所控制。用戶的電腦等待病毒作者發送控制命令,進行惡意行為的操作。下面具體分析。
1.?死循環創建同一病毒線程然后休眠(這種行為在該病毒進程中非常的多),有軟件將這些線程標識為“僵尸線程”。
2.?創建網絡套接字,向?網址www.hacker22.com?發起網絡連接,接受病毒作者的遠程網絡控制。
3.?獲取用戶的電腦的操作系統的版本信息、CPU處理的頻率和數目信息、系統的內存信息以、使用的網絡流量的信息以及用戶電腦從啟動到現在的上線時間,準備將用戶的這些信息發送給病毒作者。
4.?創建死循環網絡等待,等待接受病毒作者遠程發送來的控制命令,然后解析病毒作者發送來的控制命令,對用戶的電腦執行相應的惡意行為操作。病毒作者的遠程控制命令還區分nRevCmdNumber?等于6、nRevCmdNumber?大于?6以及nRevCmdNumber?小于6。
下面對病毒作者的遠程控制命令的相應的惡意操作進行具體的分析下。
1.當病毒作者的遠程控制命令nRevCmdNumber等于0x10時,從網址www.hacker22.com下載病毒文件到用戶的臨時系統文件目錄%temp%下,然后運行病毒文件,創建病毒進程并且釋放的病毒文件的名稱是隨機不定個數的數字沒有文件后綴名。
2.當病毒作者的遠程控制命令nRevCmdNumber?等于0x6?和nRevCmdNumber?等于?0x12時,對用戶電腦的控制行為是一致的。釋放病毒創建的信號互斥量.Net?CLR,關閉病毒創建的名稱為".Net?CLR"服務,刪除注冊表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR"項,刪除病毒進程的文件自身,依然從網址www.hacker22.com下載病毒文件到用戶系統的臨時文件目錄%temp%下,執行下載的病毒文件,創建病毒進程并且下載的病毒文件的名稱組成為前5個字符是隨機的,后面是固定字符的即"%c%c%c%c%ccn.exe",然后結束當前病毒進程。
3.當病毒作者的遠程控制命令nRevCmdNumber等于0x14時,調用ShellExecute函數使用病毒作者遠程發來的控制數據作為IE程序的指定啟動參數,創建iexplore.exe進程。
4.當病毒作者的遠程控制命令nRevCmdNumber等于0x2、0x4或0x5時,并沒有做什么實質性的操作,無非就是使用網絡操作API的函數地址或者對于網址www.hacker22.com的連接等操作的函數過程地址為要創建的線程的過程回調,混亂的創建很多的網絡套接字操作的線程(不是重點)。
?
5.當病毒作者的遠程控制命令nRevCmdNumber等于0x3時,解析病毒作者遠程發來的控制命令,根據解析的控制命令,創建病毒作者指定數量的線程,線程的作用是?利用文件路徑C:\WINDOWS\system32\Program?Files\Internet?Explorer\iexplore.exe下的iexplore.exe程序向網址www.hacker22.com發送GET形式的Http數據請求包,從病毒作者的服務器下載文件。
======================================================================
線程3?的病毒行為與線程2的病毒行為是一致,只不過發起連接的網址變成了aiqing.txddos.com。創建死循環病毒線程,向病毒作者的服務器網址aiqing.txddos.com發起網絡連接主動接受控制,獲取病毒作者發送來的控制命令,解析這些控制命令,對用戶的電腦進行控制操作,具體的分析過程見對線程2行為的具體分析。
======================================================================
死循環僵尸線程的行為分析?利用死循環,在用戶的電腦上不斷的創建同一個線程,然后根據相關的服務控制命令nServiceControlStatus設置服務的狀態。
死循環創建的同一線程的作用是?首先解密字符串"CgvQyt0d4NzeCQsTCxND"獲取到發起網絡連接的IP地址和端口號;獲取用戶電腦的系統、CPU、內存、網絡流量等信息,發送給病毒作者;后面?除了網址的可能會不同,其他的病毒行為與上面的線程2和線程3的病毒行為一致,接受病毒作者的遠程控制命令,然后解析控制命令,對用戶的電腦進行控制操作。
2.1.7?如果注冊表項"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR"不存在。使用當前病毒進程(UPX殼解壓后的病毒文件數據),在Windows系統目錄C:\WINDOWS下釋放名稱為隨機字母組成且格式為"%c%c%c%c%c%c.exe"的病毒文件如owwesc.exe;使用該釋放的隨機字母病毒文件創建名稱為".Net?CLR"的病毒服務并啟動該病毒服務;設置注冊表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net?CLR"的項Description的值為?"Microsoft?.NET?COM+?Integration?with?SOAP"讓用戶的系統支持web的SOAP訪問服務;通過前面已經分析過的監測事件的方式?病毒進程刪除病毒文件自身,結束當前病毒進程。
總結
以上是生活随笔為你收集整理的一个DDOS病毒的分析(一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一个感染型木马病毒分析(二)
- 下一篇: 一个DDOS病毒的分析(二)