rmnet感染型病毒分析

1、一、样本信息病毒名称：Trojan.Win32.Ramnit.efg文件名称：1Srv.binMD5：ff5e1f27193ce51eec318714ef038befSHA1：b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6二、关键行为创建互斥 “KyUffThOkYwRRtgPP”投放文件并且运行 “C:Program FilesMicrosoftDesktopLayer.exe”文件遍历方式感染全盘后缀为 “.exe”“.dll”“.htm”“.htm”的文件写入Autorun.inf 自动播放 进行感染注入浏览器iexplore.exe进程，使用Hook

2、ZwWriteVirualMemory方式来进行写入内存改变EIP执行劫持 winlogon 系统项的userinit来运行感染病毒母体连接C&C服务器为443端口，此为HTTPS 访问端口，用来躲避行为检测连接C&C服务器 fget- 发送窃取数据3、 样本运行流程此感染病毒共有3层打包，每层使用UPX加壳。第一层包装主要内存解密出PE文件，替换自身当前模块内存。第二层主要判断自身路径是否为“C:Program FilesMicrosoftDesktopLayer.exe”,如果不是则拷贝自身母体至此目录下，然后运行此程序。当判断本路径的是的话，则通过注册表取系统自身浏览器路

3、径，内存解密出第三层模块DLL,通过Hook ZwWriteVirtualMemory注入到iexplore.exe进行执行。注入到iexplore.exe的DLL为此感染病毒核心代码，在入口处创建了6个线程，他们分别工作是1. 每隔一秒判断winlogon.exe的userinit是否启动的是感染母体2. 访问:80 网站来进行取当前时间,并且判断3. 取感染时间保存到 “dmlconf.dat”4. 连接C&C服务器”fget-”，发送窃取的数据 5. 遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件6. 主要遍历驱动器根目录写autorun.inf方式

4、进行感染感染症状：被感染的.exe 和.dll 程序自身后面都多了一个名为.rmnet的区段且每次打开被感染的程序，当前目录会有 “母体名+Srv.exe”的程序被感染的.htm和.html文件会被添加以下内容被感染的autorun.inf会被写入以下内容网络症状：四、详细分析0x1.第一层包装，主要内存解密出PE文件，替换自身当前模块内存我们先用查壳工具看看，显示是UPX加壳，我们载入OD可以看到入口是典型的UPX入口特征首先申请一个0xF000大小的空间，写入shellcode，这段shellcode进行再次进行申请内存，填充PE文件，替换自身当前模块内存。0x2.第二层包装我们来到第二层

5、包装后，也为UPX压缩，主要判断自身路径是否为“C:Program FilesMicrosoftDesktopLayer.exe”,如果不是则拷贝自身母体至此目录下，然后运行此程序。运行DesktopLayer.exe后，首先会通过查询注册表路径”取得系统浏览器路径，在取得系统浏览器iexplore.exe路径后，首先Hook “ZwWriteVirtualMemory”在调用CreateProcessA函数来启动进程，当调用此函数的时候，就会进入到Hook的处理程序里面来，因为CreateProcessA 是经过封装处理的,ZwWriteVirtualMemory是其CreateProces

6、sA的内部函数。这个hook处理程序首先会从自身内存中解密出一个PE文件，通过远程写内存函数写入到iexplore.exe进程当中，其中还会远程写入一段shellcode代码给iexplore.exe内存PE文件进行初始化操作，大致就是申请内存-对齐区段-初始化导入表-修复重定位-修复入口点等。0x3.第三层核心代码这层核心代码则为远程写入iexplore.exe的这段内存，实则为一个DLL文件通过使用查壳工具可以看到这个DLL名为”rmnsoft.dll”的文件这个DLL在入口一共创建了6个线程来进行工作，每个线程负责不同的恶意操作1.每隔一秒判断winlogon.exe的userinit是

7、否启动的是感染母体2.访问:80 网站来进行取当前时间,并且判断3.取感染时间保存到 “dmlconf.dat”4.连接C&C服务器”fget-”，发送窃取的数据 5.遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件6.主要遍历驱动器根目录写autorun.inf方式 进行感染入口首先会判断互斥”KyUffThOkYwRRtgPP” 是否存在，如果存在则直接退出程序。接着就是创建线程操作了0x1.线程一(劫持winlogon.exe注册表项 来启动感染母体)通过分析我们可以知道，此线程主要通过注册表 查询winlogon目录的userinit 的来判断自身母体

8、是否被能被开机运行，这种劫持方法，在开机启动项里面是查不到的.并且每隔1秒查询一次，无限循环。0x2.线程二(通过访问:80来获取时间)如果访问失败，则还会进行以下几个网站来获取0x3.线程三(取感染时间保存到文件”dmlconf.dat”)通过 SystemTimeAsFileTime 函数取得感染时间写入到文件”dmlconf.dat”0x4.线程四(发送窃取数据线程)首先会取计算机一些相关信息接着会解密出一个名为”fget-”的域名地址，且端口为443端口 ，为了躲避安全软件而伪装成HTTPS协议接着进行数据组合20406F46000121F800000A2800000005000000

9、018620406F46分区序列号000121F8分区序列号00000A28系统build版本00000005主版本号00000001次版本号86国家代码接着进行MD5加密字符串，发送给C&C服务器 fget- 443端口数据包首次使用固定ff 00 ? 00 00 00 进行对C&C服务器的握手连接在进行把20406F46000121F800000A28000000050000000186 和组合的MD5字符串发送给C&C服务器0x5.线程五(感染全盘文件 .exe .dll .htm .html)我们可以看到，此感染文件线程每隔30秒感染一次首先排除感染目录接下来就

10、是全盘搜索文件进行感染,我们可以看到此感染母体搜索“ *.* ”全部文件。当搜索到以下文件类型时候进行感染感染.exe和.dll文件时候, 首先会读取文件区段.如果比较最后一个区段为.rmnet的话，则会停止操作，防止被重复感染.进行感染操作使用文件映射方式把文件加载到内存，在进行添加区段.rmnet，此区段包括感染母体。感染.htm .html文件是否 判断结尾是否为 </SCRIPT> ，如果为这个字符串则不会感染被感染的htm和html文件 则会被添加以下内容至此，感染线程操作分析完毕。0x6.线程六(感染驱动器自动播放文件 autorun.inf)首先会遍历所有驱动器路径,挨个进行判断，感染。我们可以很清楚的看到首先遍历所有驱动器路径。然后删选出 “可移动磁盘”和没有没感染的磁盘来进行感染。相当可怕/!针对可移动磁盘并且读取每个可移动磁盘的autorun.inf 文件,判断结尾是否是”RmN”，如果是则已经是被感染过的。感染autorun.inf文件内容，可以看出是一个自动运行感染母体的代码。并且在尾巴添加 RmN 防止重复操作。至此，此感染样本全部分析完毕。 解决方案:通过分析我们知道，为了防止重复感染，此样本会存在一个 互斥实例，