一、样本概述
1.1. 基本信息
样本文件名:gr.exe.v
MD5:7372C5538AD30691944A9386EA496E01
病毒名:Win32.Troj.DropRootKit.a.143360
病毒类别:下载者
1.2. 启动项列表
1.感染ctfmon.exe
2.在非系统盘每个文件夹中释放usp10.dll劫持系统dll
1.3. 释放文件列表
%windir%/jiocs.dll
%windir%/Tasks/1
%tmp%/1696
%sys32dir%/sadfasdf.jpg
%sys32dir%/ctfmon.exe
二. 样本行为
2.1 病毒母体EXE
2.1.1 获取当前进程的PID
若当前PID小于等于0x0a,退出进程。
2.1.2 判断创建互斥体
创建互斥变量为"puuyt",若此互斥变量存在,则退出进程。
2.1.3 解密自己数据段释放驱动文件
解密自己数据段数据释放到%TEMP%目录下,命名为"1696"。
2.1.4 解密进程名,结束对应进程
解密得到以下安全软件进程名称
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
并调用TerminateProcess将其结束。
2.1.5 添加对迅雷的映像劫持
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion
/Image File Execution Options/Thunder5.exe
"Debugger"REG_SZ"svchost.exe"
使迅雷无法启动。
2.1.6 释放dll并调用
解密数据段数据,写入%windir%/jiocs.dll文件,并用rundll32.exe加载jiocs.dll导出函数"EnumPageFile"。
获取"safeboxTray.exe"文件路径,将解密数据段数据写入"safeboxTray.exe"目录下的psapi.dll(和jiocs.dll相同)。
2.1.7 调用360保险箱卸载参数
遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
删除psapi.dll文件。
2.1.8 修改注册表关闭360监控
HKLM/SOFTWARE/360Safe/safemon
"MonAccess"REG_DWORD0
"SiteAccess"REG_DWORD0
"ExecAccess"REG_DWORD0
"ARPAccess"REG_DWORD0
"weeken"REG_DWORD0
"IEProtAccess"REG_DWORD0
"LeakShowed"REG_DWORD0
"UDiskAccess"REG_DWORD0
使360实时监控失效。
2.1.9 解密数据释放文件"1"
解密数据段数据,释放文件%windir%/tasks/1(就是伪usp10.dll)。
2.1.10 创建线程拷贝伪usp10.dll
遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%/tasks/1文件拷贝过去,命名为usp10.dll。
2.1.11 创建线程关闭窗口和更改显示隐藏文件
若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。
修改以下注册表键值,来不显示隐藏文件
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
"Hidden"REG_DWORD0
"SuperHidden"REG_DWORD0
"ShowSuperHidden"REG_DWORD0
2.1.12 创建线程来关闭cmd.exe
枚举当前进程,发现有cmd.exe进程则调用TerminateProcess将其结束。
2.1.13 创建线程来下载盗号器并将其运行
解密数据段,释放随机名文件a.dll到%TEMP%目录下。解密网址http://txt.naiws.com/oo.txt,下载oo.txt保存在%sys32dir%/sadfasdf.jpg,读取里面小马网址,并调用a.dll的导出函数Winext来运行小马。
2.1.14 发送本机信息
获取本机MAC地址,下载器的版本号,发送到"http://tongji.ombb888.cn/select/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=400641"
2.1.15 获取本机是否装QQ,并发送信息
遍历进程发现qq.exe则发送
"http://tongji1.ac5566.cn/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=IQQS"
2.1.16 下载替换HOSTS文件
下载http://txt.naiws.com/ad.jpg,保存到%sys32dir%/drivers/ect/hosts文件
2.1.17 下载母体自更新
解密"http://www.hoho-3.cn/gr.exe"下载并运行。
2.1.18 创建开启服务提升权限
创建服务HKLM/SYSTEM/CurrentControlSet/Services/Kisstusb,提升为SeDebugPrivilege权限,开启服务加载开始释放驱动文件1696,成功加载后删除服务和文件。
2.1.19 调用控制码替换系统文件
建立////.//Delkil,通过DeviceIoControl调用2228252,替换系统文件ctfmon.exe。
2.2 Jiocs.dll和psapi.dll
2.2.1 导出函数DllEntryPoint
Hook MessageBoxW,使调用MessageBoxW的程序加载此dll。
导出函数EnumPageFile
2.2.2 创建互斥变量
创建互斥变量"xxvv",若存在,则退出,不存在创建线程。
2.2.3 关闭进程
解密得到以下安全软件进程名称
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
并调用TerminateProcess将其结束。
2.2.4 添加对迅雷的映像劫持
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion
/Image File Execution Options/Thunder5.exe
"Debugger"REG_SZ"svchost.exe"
使迅雷无法启动。
2.3 文件1和usp10.dll
创建线程下载病毒母体
将母体
"http://www.hoho-1.cn/down/gr.exe"
"http://www.hoho-2.cn/down/gr.exe"
http://d.bc-s350.cn/down/gr.exe
"http://www.hoho-3.cn/gr.exe"下载到%tmp%目录下的一个随机名字,然后调用WinExec来运行。
Usp10.dll和psapi.dll导出真实的Usp10.dll和psapi.dll的导出函数,获取真实的导出函数地址,然后跳到真实地址。
2.4 随机名a.dll
导出函数Winext
通过调用WinExec来运行程序。
2.5 文件1696
修改系统ctfmon.exe
网友评论