样本来源:
http://bbs.ikaka.com/showtopic-8545355.aspx之前在9月4日,我于霏凡论坛样本区看到此毒前一变种,做了分析。现在在baohe这一帖的是新变种。其实两个变种的实质性动作几乎没有差别,改动的只是一些无关紧要的细节(如互斥量名和文件名)以及各动作的顺序,所以我很快就完成了这一样本的分析。
行为:
0.进行一次失败的MessageBox调用。
从参数上看,是显示Title为"LAJI",Text为"AVP"的对话框,但是由于父窗口句柄设为-1,调用应该不会成功,也就是对话框不会出现。这应该只是作者无聊的“示威”行为。由于不是实际有作用的动作,所以这里用0标号。
1.判断AUTORUN.INF是否存在(注意没有判断它是文件还是文件夹,而且由于没有完整路径,其实判断的是病毒所在路径中的AUTORUN.INF,潜在的也相当于判断病毒是否在根目录了),如存在,打开病毒自身所在的盘符(以使用户双击盘符时能正常显示)
2.创建互斥量GXDD,以保证只运行一个实例。
3.设置自身文件属性为系统、隐藏
4.为自身进程提SeDebugPrivilege权限
5.改系统年份为2004年
6.调用cacls更改everyone对某些文件和目录的权限,其中文件为packet.dll、npf.sys、wpcap.dll等嗅探器组件,而目录则为“c:\Documents and Settings\All Users\「开始」菜单\程序\启动”,应该是为后续下载的病毒的功能作准备。
7.加载sfc_os.dll,调用其中序号为5的函数,取消对beep.sys、wuauclt.exe(system32中及dllcache中)的Windows文件保护
8.保存beep.sys内容,修改beep.sys并加载,修改后的beep.sys为还原SSDT的驱动,然后当然就是用滥了的通过遍历ntoskrnl.exe等的重定位表找原始SSDT表,然后重定位后传给驱动去还原SSDT。成功后把beep.sys再写回来。
9.通过TerminateProcess结束进程和ControlService结束服务的方法,对付一些安全软件。
10.如自身不是system32\wuauclt.exe,将自身文件拷贝到system32\wuauclt.exe,并将自身移动到c:\temp.log。将自身拷贝到dllcache\wuauclt.exe。
11.文件占坑
为自身进程提SeDebugPrivilege权限后,以DUP_HANDLE进行OpenProcess尝试访问System进程(PID为4或8)
如成功:尝试以独占方式(dwShareMode==0)调用CreateFile得到dllcache\wuauclt.exe的文件句柄
如成功:
利用DuplicateHandle(dwOptions==DUPLICATE_CLOSE_SOURCE|DUPLICATE_SAME_ACCESS),把句柄复制给System进程,同时关闭自身进程里的该文件句柄。
这样就完成了一次猥琐的文件占坑,由于现在拥有句柄的是System进程,比一般进程更难以关闭这个句柄,给用户修复文件造成困难。
12.创建一个IE进程,将自身代码注入其中运行,执行下载并运行病毒的任务(先把urlmon.dll复制为wingod.dll,再使用wingod.dll中的URLDownloadToFileA函数,以逃避杀软对该函数的HOOK),下载URL及本地路径为:
http://m.c5x8.com/dd/x.gif-->C:\Program Files\ee.pif
http://m.c5x8.com/dd/1.exe-->C:\Documents and Settings\1.pif
http://m.c5x8.com/dd/2.exe-->C:\Documents and Settings\2.pif
……
http://m.c5x8.com/dd/10.exe-->C:\Documents and Settings\10.pif
13.在注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
添加internetnet键值,指向system32\wuauclt.exe使之每次开机都运行。
14.对大量安全软件进程文件进行IFEO劫持,劫持目标为dllcache\wuauclt.exe
15.修改显示隐藏文件的注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall]
CheckedValue键的值改为2
16.删除安全模式注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
17.从c到z遍历所有本地磁盘和移动介质盘符,在每个盘符根目录创建AUTORUN.INF及GXD.PIF,其中GXD.PIF为病毒副本,两者均为隐藏加系统属性。
18.最后使用一个死循环来常驻内存,所做的事是:
(2)不停重复第17步对本地磁盘根目录AUTORUN.INF及GXD.PIF的写入,即文件守护。
(1)不停检测当前鼠标所在窗口或其顶级父窗口中是否包含某些杀毒软件的特征字串,如包含,则使用PostMessage的方法关闭窗口(这部分代码可以说基本上与中华吸血鬼的相应代码一样,显然是互相抄袭)。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; MAXTHON 2.0)
