1．樣本概況

1.1 樣本信息

1.2 測試環境及工具
操作系統：win7 32位
操作工具火絨劍、OD、IDA、MD5工具


1.3 分析目標
分析此病毒的惡意行為和生成相關文件。


2．具體行為分析


2.1 主要行為

病毒首先使用RegOpenKeyExW函數讀取注冊表中【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\Ghijkl Nopqrstu Wxy】

 


如果鍵項存在則進入一個創建服務的函數，做了以下4個步驟：

1、檢查互斥體，防止多開；


2、釋放、加載資源文件C:\windows\system32\hra33.dll；


3、開啟四個線程（IPC$破解、收集主機操作系統與網絡信息、CPU字符串和主頻率描述）其中線程A是用于IPC$密碼破解，感染同局域網內其他主機。線程B、線程C、線程D功能一致，連接的域名不一樣。 


感染模塊操作


 


2.1.1 惡意程序對用戶造成的危害(圖)
在rar、zip、exe中釋放一個lpk.dll的文件，運行exe后加載病毒程序
 
圖1感染壓縮包

 

圖2 有exe的目錄下釋放lpk.dll


2.1.2 惡意程序在系統中生成的文件
(1)權限相關()
1.創建服務

 

圖3 創建的服務名



2.生成文件
 
圖4 生成的病毒exe

 

圖5 生成的病毒DLL

3.創建注冊表
 
圖6 注冊表所增加的注冊表鍵值


(2)服務/廣播 

2.2 惡意代碼分析

2.2.1 加固后的惡意代碼樹結構圖


1.使用PEID檢查出病毒程序采用upx殼壓縮

 

圖7 PEID查殼為upx

2.連接域名使用base64加密
 

圖8 連接域名為base64加密


2.2.2 惡意程序的代碼分析片段

病毒首先使用RegOpenKeyExW函數讀取注冊表中有沒有【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\ GhijklNopqrstu Wxy】這個鍵項；
 
圖9 判斷鍵項-OD反匯編代碼注釋

如果沒有這個鍵項的時候則進入一個創建服務的函數，做了以下4個步驟：


1、復制自身到C:\\windows；


2、將【C:\\windows\\隨機文件名.exe】注冊服務；


3、創建注冊表鍵項；


4、刪除自身處理；獲取當前exe運行路徑隨機生成一個隨機文件名，復制自身到C:\\windows目錄下，如："C:\Windows\jkfukc.exe"，代碼片段如下：

 

圖10 IDA-復制自身到C:\\windows

 

圖11 OD反匯編-堆棧窗口-隨機生成文件名


將生成的文件作為系統服務對象創建，系統服務名為【GhijklmnPqrstuvwx Abcdefg Ijklmnop Rst】，代碼片段如下：
 

圖12 IDA偽C代碼-創建系統服務


檢查病毒是否已經在機器上運行過，創建注冊表鍵項：【HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\GhijklNopqrstu Wxy】
 

圖13 IDA偽C代碼-創建注冊表鍵項




病毒運行后會做刪除自身的處理，首先獲取當前進程路徑、文件短路徑、CMD.exe路徑。用shellexecute()函數刪除自身。然后設置進程的執行級別使自身有足夠的時間從內存中退出。

 
圖14 IDA偽C代碼-刪除自身


如果鍵項存在則進入一個創建服務的函數，做了以下步驟：
1、檢查互斥體，防止多開；
2、釋放、加載資源文件C:\windows\system32\hra33.dll；
3、開啟三個線程（IPC$破解、收集主機操作系統與網絡信息、CPU字符串和主頻率描述） 檢查互斥體Ghijkl Nopqrstu Wxy是否存在，如果已經存在時退出程序；183對應著宏定義ERROR_ALREADY_EXISTX。然后釋放自定義資源，將自定義資源命名為hra33.dll。
 
圖15 檢查互斥體與釋放自定義資源


釋放自定義資源文件hra33.dll 到C:\windows\system32\hra33.dll,改寫文件的PE頭，讓其成為PE文件。代碼片段如下:
 
圖16 釋放自定義資源，改寫PE頭為MZ


創建了四個線程，分別命名為線程A、線程B、線程C、線程D。代碼片段如下：

 
圖17 創建四個線程

線程A通過IPC$共享用內置的弱口令字典破解感染同局域網內其他主機。將自身復制到其他主機的共享后，使用at(定制計劃任務)的方式執行。
 
圖18 IPC$破解

線程B、線程C、線程D功能大體一致，連接的域名不一樣。獲取操作系統版本號、 CPU字符串和主頻描述、內存、網絡流量信息創建套接字發送給控制端，然后等待接收控制端發過來的指令，執行相關的操作。

線程B 進入回調函數后,首先進入連接域名函數，創建網絡套接字后所連接的域名為:sbcq.f3322.org，代碼片段如下：
 
圖19 IDA偽c代碼-創建網絡套接字連接sbcq.f3322.org


當連接域名成功，代碼向下執行會調用搜集操作系統信息的函數，加載hra33.dll。
 
圖20 OD反匯編代碼-調用搜集操作系統信息函數



使用GetVersionExA()函數獲取操作系統版本號、 CPU字符串和主頻描述的代碼片段如下：
 
圖21 IDA偽C代碼-獲取操作系統版本號


 
圖22 IDA偽C代碼-獲取CPU字符串和主頻描述


利用Send（）函數發送消息通知控制端已經加載hra33.dll成功，代碼片段如下：
 
圖23 IDA偽C代碼-加載hra33.dll后發送0XB0給控制端


根據控制端傳送過來的命令執行相關的操作。定義了URLDownloadToFileA()、winexec()函數，會下載指定url的文件保存到本地中。實現了下載自定義文件的功能。代碼片段如下：
 
圖24 定義UrlDownloadToFileA函數


當接收的參數大于6個字節時，接收到的值等于0x10，從接收到的URL地址處下載文件保存到本地的臨時目錄，文件名由GetTickCount()函數隨機生成，代碼片段如下：
 
圖25 接收命令執行下載文件




接收到的值等于0x12時候，創建互斥體【Ghijkl Nopqrstu Wxy】，隨機生成文件名。把控制端發送過來的url地址下載保持成本地文件，關閉病毒創建的名稱為【Ghijkl Nopqrstu Wxy】服務，刪除注冊表【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy 】鍵項，刪除病毒進程的文件自身。將新的文件重新注冊成為系統服務。初步判斷這是一個更新自身服務端的功能。代碼片段如下：


 
圖26 下載新的病毒文件  

 

圖 27 刪除原有的服務和注冊表

接收到0x14的命令時調用ShellExecute函數將控制端發送過來的控制數據作為IE程序的指定啟動參數，打開iexplore.exe進程。


 

圖28 IDA偽C代碼-自帶IE打開網頁

其他參數還接收了0x2、0x3、0x4、0x5,其中0x2/0x4/0x5未發現有實質的操作，接收到0x3的控制指令后，線程的作用是利用文件路徑C:\WINDOWS\system32\ProgramFiles\Internet Explorer\iexplore.exe下的iexplore.exe程序向網址發送GET形式的Http數據請求包。代碼片段如下： 
 
圖29 接收命令參數


 
圖30 發送GET形式的Http數據請求包

線程C的功能與線程B大體一致，連接的域名為：
 
圖31 連接域名www.520123.xyz

線程D的連接域名使用了加密函數。
 
圖32 IDA偽C代碼-線程D加密函數


在OD載入后動態執行時結果被解密出來。
 
圖33 OD反匯編代碼-連接域名www.520520520.org:9426


Hra33.dll功能是通過加載lpk.dll對其他exe和壓縮包進行感染。代碼片段如下：


 
圖34 hra33.dll入口點函數




遍歷文件目錄，如果找到.exe的目錄就把lpk.dll放到該目錄下。代碼片段如下：
 
圖35 感染函數


感染zip/rar的方式主要還是利用winrar.rar的rar.exe（命令行工具），首先搜索壓縮包內有沒有lpk.dll這個文件，然后如果有.exe，就將壓縮包重新解壓添加lpk.dll文件再壓縮。代碼片段如下：
 
圖36 感染壓縮文件

3．解決方案


3.1 提取病毒的特征，利用殺毒軟件查殺


【Ghijkl Nopqrstu Wxy】對應hex 【4768696A6B6C204E6F70717273747520577879】


3.2 手工查殺步驟或是工具查殺步驟或是查殺思路等。

 3601_unpack_(52pojie).rar (273.03 KB, 下載次數: 2)