【文章标题】: 山寨熊猫烧香病毒分析
【文章作者】: dttom
【作者邮箱】: dttom2006@gmail.com
【作者主页】: http://hi.baidu.com/dttom
【软件名称】: cool_gamesetup.exe
【下载地址】: 自己搜索下载
【加壳方式】: 两层壳
【编写语言】: Delphi
【使用工具】: OllyICE\IDA\VMWARE
【操作平台】: WINXP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
这个病毒在我们单位的局域网泛滥,找到一个样本后,分析了一下。病毒伪装成nod32杀毒软件图标。
1、脱壳,病毒加了两层壳:
第一层 NsPacK V3.1 -> LiuXingPing
第二层 PECompact V2.X-> Bitsum Technologies
dump内存得到程序,为peid查壳为Borland Delphi 6.0 - 7.0开发。
2、程序行为
2.1 通过GetProcAddress获取系统相关函数的地址
1)首先调用网络共享函数地址,用非法调用
2)系统提权,用于执行网络共享枚举等函数
3)获取进程相关的一些函数地址
2.2 删除C:\WINDOWS\system32\drivers\etc\hosts文件,在"C:\WINDOWS\system32\drivers\"创建"TXPlatf0rmm.exe"并从cool_gamesetup.exe复制数据(病毒自身)写入"C:\WINDOWS\system32\drivers\TXPlatf0rmm.exe"文件。接着就是写入注册启动项,使“我的电脑->工具->文件夹选项->查看”中的“显示所有文件和文件夹功能”失效。以及加入启动项,关闭360安全卫士等。
2.3 病毒会对文件进行过滤,排除一些文件和文件夹不感染。“ntdetect.com,windows\winrar\winnt\system32\documents and settings\system volume\information\recycled\windows nt\windowsupdate\windows media\player\outlook express\internet explorer\netmeeting\common files complus applications\common files\messenger\installshield installation information\msn\microsoft frontpage\movie maker\msn gamin zone”
2.4 设置定时器,用于执行感染写入,病毒最可恶的是会将硬盘上备份在.rar文件包的文件解压到“c:\myrarwork”昨时文件夹,感染后再压缩回去!!!感染后缀名为exe\scr\pif\com\htm\html\asp\php\jsp\aspx的文件。exe文件被感染后,无法运行,可能是病毒的bug。病毒会在感染的文件夹下写入desktop_1.ini、desktop_2.ini,病毒的时间标志。
2.4 病毒运行后会运行调用cmd.exe /c net share admin$ /del /y等命令删除默认共享。
2.5 实现网络连接,病毒对自身的字符串进行了加密解密后网址为“http://www.ipshougou.com/tj.htm”大概是统计中马机器数量(我猜?)
下载“http://www.ipshougou.com/goto/down.t....com/stat.php?
id=1212193&web_id=1212193这个大概是个网站排名之类的东西,获取点击数。
病毒对字符串进行了简单的xor加密,解密函数如下:
加密数据如下,通过分析,可知数据结构如下:
Struct EncodeData(
DWORD sign;
DWORD charLength;
char str[];
)
.nsp0:00416668 FF FF FF FF 04 00 00 00 dd 0FFFFFFFFh, 4
.nsp0:00416670 74 72 75 65 00 aTrue_2 db 'true',0 ; DATA XREF: sub_4165F0+18o
.nsp0:00416670 ; sub_4165F0+3Bo
.nsp0:00416675 00 00 00 align 4
.nsp0:00416678 FF FF FF FF 1F 00 00 00 dd 0FFFFFFFFh, 1Fh
.nsp0:00416680 6C 73 75 76 3E 28 2E 71+aLsuv_qspOtti_0 db 'lsuv>(.qsp/ottiiq`ns*dnk+sk(lsl',0
.nsp0:00416680 73 70 2F 6F 74 74 69 69+ ; DATA XREF: sub_4165F0+1Do
.nsp0:004166A0 FF FF FF FF 36 00 00 00 dd 0FFFFFFFFh, 36h
.nsp0:004166A8 6C 73 75 76 3E 28 2E 75+aLsuv_u04EjGhlW db 'lsuv>(.u04/ej}{(ghl)ws`r*wiv;ne;55045>2 sbcYmc<76637=4',0
.nsp0:004166A8 30 34 2F 65 6A 7D 7B 28+ ; DATA XREF: sub_4165F0+40o
.nsp0:004166DF 00 align 10h
运用IDA的脚本功能解密结果如下:
.nsp0:00416668 FF FF FF FF 04 00 00 00 dd 0FFFFFFFFh, 4
.nsp0:00416670 74 72 75 65 00 aTrue_2 db 'true',0 ; DATA XREF: sub_4165F0+18o
.nsp0:00416670 ; sub_4165F0+3Bo
.nsp0:00416675 00 00 00 align 4
.nsp0:00416678 FF FF FF FF 1F 00 00 00 dd 0FFFFFFFFh, 1Fh
.nsp0:00416680 68 74 74 70 3A 2F 2F 77+aLsuv_qspOtti_0 db 'http://www.ipshougou.com/tj.htm',0
.nsp0:00416680 77 77 2E 69 70 73 68 6F+ ; DATA XREF: sub_4165F0+1Do
.nsp0:004166A0 FF FF FF FF 36 00 00 00 dd 0FFFFFFFFh, 36h
.nsp0:004166A8 68 74 74 70 3A 2F 2F 73+aLsuv_u04EjGhlW db 'http://s43.cnzz.com/stat.php?id=1212193&web_id=1212193',0
.nsp0:004166A8 34 33 2E 63 6E 7A 7A 2E+ ; DATA XREF: sub_4165F0+40o
.nsp0:004166DF 00 align 10h
2.6 枚举所有窗口,关闭一些网络监控、嗅探软件等
2.7 关闭杀毒软件及服务、删除注册表键值,对付不同杀毒软件运用两种方法一种是关闭服务,另一种是删除服务。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2009年05月16日 0:27:05