Word/Excel文档伪装病毒-kspoold.exe分析
一、 病毒樣本基本信息
樣本名稱:kspoold.exe
樣本大小: 285184 字節
樣本MD5:CF36D2C3023138FE694FFE4666B4B1B2
病毒名稱:Win32/Trojan.Spy.a5e
?
計算機系統中了該病毒一個比較明顯的特征就是U盤里的.doc、.xls文件會被病毒隱藏起來,變成kspoold.exe病毒的載體文件,誤導用戶以為是原來的.doc、.xls文件達到傳播病毒的目的,用戶運行該kspoold.exe的載體病毒以后,病毒母體kspoold.exe就會駐留到用戶的電腦里。
?
二、 隱藏了.doc、.xls文檔的衍生病毒的具體行為
1.從該樣本文件的資源中獲取名稱為"UKURAN_EKSTRAKTO"的資源數據,然后解密該數據。
2.創建文件C:\WINDOWS\system32\kspoold.exe釋放到系統目錄C:\WINDOWS\system32下,并運行病毒母體文件kspoold.exe。
3.在該病毒樣本的目錄下,釋放出原來正常的.doc、.xls文件
4.調用函數ShellExecuteA打開原來被隱藏的.doc、.xls文件,給用戶造成假象。
5.通過字符串"COMSPEC"在系統的環境變量中查找到系統cmd.exe程序的路徑"C:\\WINDOWS\\system32\\cmd.exe"
6.調用函數ShellExecuteA在"C:\\WINDOWS\\system32\\cmd.exe"中,執行命令"/c del?\新建Microsoft Word 文檔.exe\"刪除 kspoold.exe的載體病毒例如”新建 Microsoft Word 文檔.exe “文件自身。
三、 病毒母體kspoold.exe的具體行為
1.?? 創建可執行文件C:\WINDOWS\system32\avmeter32.dll和C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UninstallLog.dat。
2.?? 創建下面幾個關鍵的注冊表:
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
?
3.?? 創建系統服務kspooldaemon, C:\WINDOWS\system32\kspoold.exe然后啟動該系統服務kspooldaemon,系統服務kspooldaemon的作用是守護病毒母體進程kspoold.exe,它會實時的查詢病毒母體進程kspoold.exe是否存在,一旦病毒母體進程kspoold.exe不存在,它就會馬上創建病毒母體進程kspoold.exe。
?
4.?? 遍歷系統所有程序的進程,找到資源管理器進程explore.exe,然后創建遠程線程注入釋放的C:\WINDOWS\system32\avmeter32.dll文件到資源管理器進程explore.exe中。
?
5.?? 獲取用戶操作系統的磁盤類型,針對用戶的U盤里的.doc文件和.xls文件進行病毒感染處理,具體的感染處理是獲取.doc文件和.xls的文件的圖標,然后再重新構造一個和原來的.doc文件或者.xls文件同名并且圖標是一樣的載有病毒母體kspoold.exe的.EXE文件。
?
6.?? 獲取用戶操作系統的鍵盤布局信息以及設置鍵盤的消息鉤子,對用戶的鍵盤消息進行監聽,記錄用戶的鍵盤按鍵的輸入信息。
四、 kspoold.exe病毒專殺的編寫思路
1.?? 關閉并刪除 kspooldaemon系統服務以及刪除C:\WINDOWS\system32\kspoold.exe文件。
2.?? 遍歷系統里的所有程序的進程,查找到kspoold.exe進程然后結束它。
3.?? 刪除下面幾個注冊表:
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
4.?? 刪除C:\WINDOWS\system32\avmeter32.dll文件。
5.?? 遍歷進程explorer.exe的進程模塊,卸載掉avmeter32.dll模塊或者直接結束掉explorer.exe進程然后重新創建explorer.exe進程。
6.?? 對kspoold.exe衍生病毒的處理,先通過下面的方法提取隱藏的.doc、.xls文件,然后再刪除該kspoold.exe衍生病毒文件。
?
五、 隱藏的.doc、.xls文檔的恢復方法
1.??被kspoold.exe衍生病毒隱藏的.doc、.xls文件的文件格式保存在該病毒文件的文件偏移Offset=0x50C14的位置的4個字節。
2.??獲取kspoold.exe衍生病毒文件的文件偏移Offset=0x50E23至該病毒文件末尾的所有數據即可提取到被該病毒隱藏的.doc、.xls文件。
3.? 對于被kspoold.exe衍生病毒隱藏的.doc、.xls文件即可以手動通過WinHex.exe工具提取到也可以自己寫個程序來實現.doc、.xls文件的提取。
4. ?隱藏.doc、.xls文件的kspoold.exe衍生病毒里有兩個PE文件。
在隱藏.doc、.xls文件的kspoold.exe衍生病毒文件的文件偏移Offset=0xB214位置是第2個PE文件的起始位置,其實該PE文件就是病毒母體文件kspoold.exe,只是病毒母體文件kspoold.exe的最后4個字節被用來保存被隱藏的.doc、.xls文件的文件格式,如.doc、.xls即該PE文件的結束位置是文件偏移Offset=0x50C17位置。
5.??kspoold.exe衍生病毒文件的數據組成示意圖,從上到下即對應從文件頭到文件尾。
六、 kspoold.exe病毒手動查殺方案
1.打開火眼XueTr工具,切換到火眼工具的服務選項,查看服務列表中有沒有一個名稱為kspooldaemon的服務。
如果有,右鍵選擇該服務啟動項,先選擇“停止”停止該服務,然后選擇“刪除服務”刪除該服務。
?
2.切換到進程選項,查看用戶的進程列表,看進程列表里有沒有名稱為kspoold.exe的偽打印驅動進程;如果有,右鍵選中該進程,選擇“強制結束進程并刪除文件”項,結束進程。
?
3.在用戶的進程列表中找到資源管理器進程explore.exe結束掉該進程。
4.如果U盤已經被感染,不要將U盤從電腦上拔下,保持U盤的原來狀態;經過上面3步操作以后,對U盤進行格式化處理就可以了,文件自然丟失。
?
注意:在進行該病毒手動清除的時候,要記得使用火眼工具查看進程和服務列表,并且一定要先停止kspooldaemon服務,然后再結束病毒進程kspoold.exe,順序不能反過來,否則kspoold.exe病毒進程是結束不掉的。
?
七、 kspoold.exe病毒的總結
kspoold.exe病毒并不是比較新的病毒,早在2012年的時候,就有病毒安全公司收集到該樣本,至于是哪個安全公司就不提了,自行百度,并且該安全公司將該病毒劃歸為木馬病毒的范疇。經過對該病毒的分析發現,雖然該病毒有獲取系統鍵盤布局以及為鍵盤消息設置鉤子等行為,將該病毒歸為木馬病毒還是有點不準確,但是還是遵循病毒安全公司的病毒命名方式,姑且將該病毒歸為木馬病毒。
?
?轉載請保留本文鏈接地址:http://blog.csdn.net/qq1084283172/article/details/45913511
總結
以上是生活随笔為你收集整理的Word/Excel文档伪装病毒-kspoold.exe分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一个DDOS病毒的分析(二)
- 下一篇: 感染性的木马病毒分析之样本KWSUpre