這個病毒很老了，已經有很多前輩分析過該病毒，跟著前輩們的思路深入分析一下，并編寫一個清理工具。這是我分析的第一個真實環境下的惡意樣本，文中如果有不正確的地方請指正。只需要清理工具的話，直接下滑到
解決方案 一節。

病毒行為總覽

代碼使用Delphi7編寫，后續分析匯編代碼發現有對XP系統和更高版本windows做了兼容處理，在這些系統上都可以正確感染，年代久遠(我還沒用過xp…)。被感染機器的 C:\ProgramData\目錄下會有Synaptics目錄，其下包含原始的惡意樣本，但是圖標不固定（圖標會更新為最近一次運行被感染exe文件的圖標），病毒生成的大部分文件都將其設置為 隱藏文件和系統文件（Exlporer設置顯示隱藏文件和系統文件或命令行下attrib即可看到）。

被感染機器的Desktop、Documents、Downloads目錄下的32位EXE文件和xlsx文件都會被掉包，但是用戶并不會有察覺，導致文件分享給他人時，大范圍感染。

病毒包含很多模塊，下面是一個大體功能圖，其中和網絡連接有關的模塊的IOC都已經失效。

→點擊獲取網絡安全資料·攻略←

2000多本網絡安全系列電子書
網絡安全標準題庫資料
項目源碼
網絡安全基礎入門、Linux、web安全、攻防方面的視頻
網絡安全學習路線圖

蠕蟲模塊分析

通過 SHGetSpecialFolderLocation和
SHGetPathFromIDListA來獲取要感染的目錄（清理工具的編寫也會通過這種方式）。病毒會獲取Desktop、Downloads和Documents的路徑并遞歸感染子文件。

EXE文件感染分析

對于EXE文件，通過LoadLibrary加載到當前進程（病毒是32位的,所以只感染32位的EXE），根據其資源節“EXEVSNX”的情況，來進行對應的操作，這個資源節內的數據代表著版本號。這個病毒是可以進行版本更新的。

具體的感染流程如下，思路很簡單。將原文件打包到病毒文件的資源節“EXERESX”中，病毒文件的圖標被替換為原文件的圖標，最后用病毒文件替換原文件。

當用戶運行被掉包的EXE文件時，會釋放出資源節"EXERESX"的原文件并運行，這樣就對用戶來說無感知。

具體的釋放流程如下，原文件會被釋放到已 ".cache"開頭的文件中，文件屬性被設置為 系統文件和隱藏文件，即使打開“顯示隱藏文件的選項”也不會顯示，“顯示系統文件”的選項一般用戶很少會打開。比較有趣的一點是代碼中還會判斷 “.cache"開頭的文件是否也有資源節"EXERESX”。這是一個重復感染的問題，病毒作者考慮到了這一點。分析整個代碼來看，可以發現病毒作者的編程功底很強，很多特殊情況的處理都有考慮到。

XLSX文件感染分析

感染xlsx文件是通過COM組件完成的，所以只有安裝了Excel的機器才會被正確感染（清理工具也是利用COM組件來進行修復xlsx文件的）。

大致的感染流程如下，病毒文件的資源節"XLSM"包含包含了惡意宏代碼的xlsm文件。

中間部分大量調用了COM組件中的函數，這里并沒有去分析。用動態調試跳過了這些函數，從結果來看就是把原來的xlsx中的數據拷貝到包含宏代碼的xlsm文件中。最后替換原了的xlsx文件，并再起目錄下生成一個 "~$chac1"文件（這也是一個感染特征，文件夾下有這個文件說明該路徑下的xlsx文件都被感染為xlsm文件），這個文件的數據就是病毒文件本身，文件屬性也設置了系統文件和隱藏文件。被感染的xlsx文件后綴會變成xlsm，內容和原來一樣。

其它模塊分析

這些模塊有的已經失效了，并沒有太深入的分析。

• 郵件發送： 使用的是Delphi中封裝好的庫,使用郵件服務器是
  smtp.gmail.com，賬號密碼是xredline2@gmail.com;xredline3@gmail.com/xredline2x;xredline3x
  我用gmail登錄了一下，已經失效了。發送郵件的目的郵箱地址是 xredline1@gmail.com
  
• 鍵盤記錄，設置消息鉤子，最常用的方式。dll文件在病毒文件資源節"KBHKS"中。（動態調試過程中消息鉤子并沒有設置，出錯原因還有待確認）

• 遠控模塊，功能很少，反彈shell、屏幕截圖、文件上下載…
• 自啟動項，直接操作注冊表，用的是Delphi封裝好的庫（Register）,使用很簡單，不贅述。

IOC整理

文件MD5就不貼了，被感染文件一直都是變化的。

解決方案

基于上面的分析，就可以編寫修復工具了。工具使用的也是Delphi編寫的，為了分析這個病毒，稍微了解了一下Delphi，正好Delphi提供了一個很方便使用圖形界面庫。cdj68765 前輩也提供了一個命令行版本的修復工具，是用 c#寫的。對于把xlsm修復為xlsx，前輩使用了Open_XML_SDK進行修復，這種方式更好。我使用的是和惡意代碼一樣的方式（COM組件）進行修復，這是一個取巧的方式，但是因為xlsm中的VBProject被加密了，導致通過COM組件的方式無法讀取到宏代碼進行特征判斷后再修復，這里用到了一個折中的方案進行特征判斷，下面會說明。

代碼和工具下載在這里：https://github.com/forTheBest12138/RepairerForXredWorm

清理效果如下，目前只會掃描 Desktop、Downloads、Documents目錄及其子目錄。如果不在這些目錄下的文件可以手動輸入進行修復，目錄和文件路徑都行。

代碼修復思路說明：

尋找病毒進程并關閉，這邊病毒開機啟動后一直后臺運行

清除自啟動項，及其對應的文件

修復EXE文件，判斷標準是 EXE文件是否包含EXEVSNX和 EXERESX資源節，原理很簡單，不贅述。

修復XLSX文件，使用COM組件的方式其實就和手動用Excel進行操作是一樣的。所以我的思路是將xlsm"另存為/SaveAs"為xlsx格式，就會直接剔除掉宏代碼，就和手動用Excel將xlsm保存為xlsx的效果是一樣的，對應的代碼就是圖中標號3的地方。有幾個坑點，圖中標號1處的代碼表示打開xlsm文件時是否執行宏代碼，默認為1，即執行，所以一定要設置成3！！！這個選項好像不受宏執行策略的影響。標號2處的代碼是來判斷xlsm的宏代碼中是否有特定的字符串，這樣就可以先進行特征匹配判斷其是否是被感染的xlsm文件，再進行修復，但是因為xlsm文件中的VBProject被加密，無法讀取到宏代碼。所以這部分代碼無法使用，上面提到的折中的方案就是判斷VBProject是否被加密再進行修復。所以特殊情況就是一個正常的xlsm文件有被加密的VBProject就會被誤認為是被感染的文件！如果用Open_XML_SDK的話是可以繞過加密的問題，這樣就可以達到100%的修復準確率。

同時還要設置運行訪問VBA對象模型的注冊表項，否則代碼是無權讀取xlsm的宏代碼的。

感染過程中生成的".cache"前綴文件和“~$cache1"文件也會清理掉。

總結

以上是生活随笔為你收集整理的【网络安全】Xred蠕虫再分析及修复工具编写的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。