周一在2号實驗樓323嵌入式實驗室用u盤時發現有病毒,重新開機後發現剛啟動時電腦就有病毒,看來還原卡沒起作用。一時興起打包了病毒檔案回來研究下。
病毒檔案名:sysanti.exe 檔案大小:52.5kb md5:4b160901566108c6f89f21444ce503e7
peid查殼資訊:
peid顯示是aspack殼,這一款相容性良好的老牌殼。不過估計用工具脫不了,od載入時出錯,看來經過特意加密防止反編譯。我也懶得深入研究殼了,直接丢入虛拟機的xp,建立快照。打開procmon和total uninstall監視,然後運作。
先分析total uninstall下直覺的檔案和系統資料庫修改情況:
檔案修改:
1.在c:\windows\fonts目錄下建立cjavv.fon和fprij.fon檔案,從檔案名上分析可能是随機檔案名。
2.與實驗室看到的不同,病毒在c:\windows\system32目錄下建立了sysanti.exe檔案,而不是實驗室的c:\program files\common file目錄。
3.修改了c:\windows\system32\drivers\etc目錄下的hosts檔案,将主流殺軟網站指向本地127.0.0.1位址,以阻止使用者通路。
4.在所有磁盤建立了sysanti.exe和autorun.inf檔案(老掉牙的自動運作傳播方式)
其autorun.inf檔案内容如下:
比較有意思的是這個病毒會檢測并關閉打開的記事本,不讓我看這個檔案内容。不過寫的不錯,在滑鼠右鍵僞造了“打開”和“資料總管”選項以混淆使用者。
檔案修改暫時就這麼多,不過total uninstall是靜态螢幕,呆會還要看procmon動态記錄的資訊。
系統資料庫修改:
[hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\run,
“sysanti”=”c:\windows\system32\sysanti.exe”
這是建立自動運作。需要特别指出的是,這個路徑下建立的自啟動是不會顯示在(msconfig)系統配置實用程式下的。
奇怪的是而在icesword下也看不到,不過xuetr下可以看到啟動項。
或者在組政策編輯器(gprdit.msc)的“登陸時運作這些程式”裡也可以看到,也算是一種比較隐蔽的方式了。
然後是映像劫持,病毒在
hkey_local_machine\software\microsoft\windowsnt\currentversion\image file execution options 下建立了以下鍵值:
360hotfix.exe,360rpt.exe,360safe.exe,360safebox.exe,360tray.exe,adam.exe,agentsvr.exe,antiarp.exe,appsvc32.exe,arvmon.exe,autoguarder.exe,autoruns.exe,avgrssvc.exe,avmonitor.exe,avp.com,avp.exe,ccenter.exe,ccsvchst.exe,filedsty.exe,findt2005.exe,ftcleanershell.exe,hijackthis.exe,icesword.exe,iparmo.exe,iparmor.exe,ishelp.exe,ispwdsvc.exe,kabaload.exe,kascrscn.scr,kasmain.exe,kastask.exe,kav32.exe,kavdx.exe,kavpfw.exe,kavsetup.exe,kavstart.exe,killhidepid.exe,kislnchr.exe,kmailmon.exe,kmfilter.exe,kpfw32.exe,kpfw32x.exe,kpfwsvc.exe,krepair.com,ksloader.exe,kvcenter.kxp,kvdetect.exe,kvfw.exe,kvfwmcl.exe,kvmonxp.kxp,kvmonxp_1.kxp,kvol.exe,kvolself.exe,kvreport.kxp,kvscan.kxp,kvsrvxp.exe,kvstub.kxp,kvupload.exe,kvwsc.exe,kvxp.kxp,kvxp_1.kxp,kwatch.exe,kwatch9x.exe,kwatchx.exe,liveupdate360.exe,loaddll.exe,magicset.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,navsetup.exe,nod32krn.exe,nod32kui.exe,pfw.exe,pfwliveupdate.exe,qhset.exe,ras.exe,rav.exe,ravcopy.exe,ravmon.exe,ravmond.exe,ravstore.exe,ravstub.exe,ravt08.exe,ravtask.exe,regclean.exe,regex.exe,rfwcfg.exe,rfwmain.exe,rfwolusr.exe,rfwproxy.exe,rfwsrv.exe,rsagent.exe,rsaupd.exe,rsmain.exe,rsnetsvr.exe,rstray.exe,runiep.exe,safebank.exe,safeboxtray.exe,safelive.exe,scan32.exe,scanfrm.exe,shcfg32.exe,smartassistant.exe,smartup.exe,sreng.exe,srengps.exe,symlcsvc.exe,syscheck.exe,syscheck2.exe,syssafe.exe,toolsup.exe,trojandetector.exe,trojanwall.exe,trojdie.kxp,uihost.exe,umxagent.exe,umxattachment.exe,umxcfg.exe,umxfwhlp.exe,umxpol.exe,uplive.exe,wopticlean.exe,zxsweep.exe
看來作者真費了一番苦心啊,收集了所有主流殺軟和主流檢測工具的檔案名啊。不過映像劫持也很好破解,把打不開的殺軟重命名就好了。
系統資料庫修改基本就是這些,不過total uninstall隻是簡單的運作前後對比而已。
下來再看看procmon的日志吧。
果然和total uninstall就不一樣了,首先可以看到病毒加載了c:\windows\system32\ntdll.dll,這是nt系統的一個重要子產品。順帶說一句,“臭名昭著”的strcpy就是在這裡定義的….
在我截圖的過程中發現所有帶有sysanti字樣和帶有auorun字樣的視窗都會被強制關閉,另外含有主流殺軟名字的視窗也會被強制關閉。是以中毒電腦會被阻止通過搜尋引擎查找相關資料。而新加入的可移動磁盤也會被建立sysanti.exe和autorun.inf檔案,以通過u盤等傳播。不過沒有發現病毒開啟的端口,暫時看來不是木馬什麼的。
繼續看日志,sysanti.exe接着查詢了映像劫持中有沒有自己,發現沒有後加載 c:\windows\system32\kernel32.dll,user32.dll等等諸多的dll運作庫。運作rundll32.exe等等…..咦,tcp連接配接202.171.253.108,開始網絡操作了,因為是虛拟機,我也沒有安裝任何的第三方防火牆,而windows自帶的可以直接忽略….是以也沒有發現連接配接對象。procmon的記錄很瑣碎,大緻就是這些,主要還是對系統資料庫的一些操作,涉及到驅動什麼的。
簡單分析就到這裡吧,下面檢測下動态狀況。
打開icesword,額…那個名為icesword的檔案夾被瞬間關閉, icesword也打不開…哦,對了,映像劫持。給icesword改名後順利打開并且正常運作了。奇怪,在程序中并未發現可疑的,難道是注入到某個系統程序了?或者是服務級别的?更有甚者,ring0級别把自己隐藏了?
先奔着最壞的可能去,嗯….核心子產品沒發現異常,服務和裝置也沒有增加。看來可以初步鎖定為程序插入型了,至于這個到底是病毒還是木馬現在還不好說。
虛拟機運作的xp本來就很幹淨,簡單看了下程序,懷疑對象鎖定在了explorer.exe和svchost.exe上。打開子產品資訊…..太多了,加載的子產品都有好幾十。為了檢測起來容易些,重新開機虛拟機進入安全模式吧。在實驗室我已經确認了病毒竟然能順利運作在安全模式下。
不對….無法進入安全模式了….這個檔案是我在實驗室直接打包帶回來的樣品啊…目前搞不清楚狀況了。
沒辦法,直接正常啟動吧,先不修複安全模式了。運作procmon,監視所有線程操作,嘿嘿,果然發現了幕後黑手svchost.exe,pid為704。咦,這個svchost.exe竟然是以administrator運作的,看來自己是大意了,連這麼明顯的破綻都沒看到啊。
看來病毒是注入到svchost.exe程序裡了,果斷用icesword查找svchost.exe的子產品,比對後果然發現了問題。
先試試直接結束pid為704的svchost.exe吧,嗯…可以結束,看來不是雙程序保護的。删除了c盤下的sysanti.exe和autorun.inf檔案,也沒有被重建了。
清除所有病毒檔案和系統資料庫項目後重新開機,再沒有發現病毒痕迹。
p.s.監視了這個病毒很長一段時間,日志裡沒有發現它對其餘檔案的操作和鍵盤記錄之類,也不知道是不是需要某些特定情景的觸發。總之,手工清除并不複雜…