文件檢測
| 信息 | 值 |
|---|---|
| 文件名 | 1.virus |
| 文件類型 | WIN 32 EXE |
| 文件大小 | 41664 bytes |
| MD5 | 3d466b0f8ba9f3fe03e137a34d79f682 |
| SHA-256 | 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca |
| 加殼 | upx 2.90 |
導入函數
通過導入表函數可以看出病毒有以下行為:
- 文件創建
- 線程注入
- 注冊表修改
- 網絡行為
動態行為分析
regshot創建注冊表快照,同時監控程序進程,使用wireshark實時監控網絡行為
注冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
"Seed"=hex:f4,9d,30,f1,c6,bc,ea,49,17,69,71,10,29,fe,0c,34,1a,7c,76,bd,cf,ab,\
d9,02,17,5e,1e,43,3e,12,f7,8d,1e,0a,36,d9,4a,82,b7,5e,cb,b1,08,ea,a1,31,1c,\
86,dd,21,54,de,53,28,41,a5,d8,ee,79,3d,f4,9c,62,7f,63,b4,64,ac,25,07,ba,76,\
18,10,f4,aa,c9,89,87,61
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JavaVM"="C:\\WINDOWS\\java.exe"
"Services"="C:\\WINDOWS\\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Daemon]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vir]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vir\OpenWithList]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=hex:3c,00,00,00,5b,01,00,00,01,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,19,00,00,00,68,74,74,70,3a,2f,2f,31,32,37,\
2e,30,2e,30,2e,31,2f,77,70,61,64,2e,64,61,74,f0,b0,88,2c,93,41,d3,01,01,00,\
00,00,c0,a8,f4,83,00,00,00,00,00,00,00,00
- 創建servers.exe和java.exe
C:\\WINDOWS\\java.exe和C:\\WINDOWS\\services.exe設置為自啟動- 設置
http://127.0.0.1/wpad.dat為代理服務器,HTTP會話劫持
備注:
隨機種子:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
進程行為
- 臨時路徑下創建services.exe和java.exe使用,
"C:\Users\HK_MAY~1\AppData\Local\Temp\services.exe" - 主程序與services.exe進行通訊(services.exe->主程序->網絡)
- services.exe設置瀏覽器代理
網絡行為
既然有瀏覽器和郵件的相關惡意行為,那么主要看HTTP,HTTPS,SMTP,DNS協議
- 通過瀏覽器查詢信息
- 發送郵件,信息如第三張圖
通過上面動態分析,總結和推測如下
- 釋放文件services.exe和java.exe
- 修改注冊表,設置隨機數種子、開啟自啟程序、HTTP代理
- services.exe通過劫持會話,作為本地主程序與網絡的中間服務器,發送郵件信息到網絡,接受網絡數據到主程序
靜態分析
主程序分析
全局分析
創建互斥體
主機+root,將非字母替換為大寫字母,以此命名互斥體,確保一個病毒運行
釋放文件
1.在系統臨時目錄創建zincite.log
C:\Users\10245\AppData\Local\Temp\zincite.log
2.釋放services.exe,並運行
servers.exe元數據
創建java.exe
設置自啟項
將C:\Windows\java.exe寫入注冊表自啟動HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
創建線程關閉rctrl_renwnd32,ATH_Note,IEFrame窗口
創建線程,從瀏覽器獲取並篩選郵箱地址,構建欺騙郵件信息
首先判斷了網絡狀態
首先進入通過搜索引擎獲取同類型郵箱地址
構造搜索鏈接
構造參數
參數1包括:
contact+mail
contack+email
contact+e-mail
reply
mailto
通過@后的域名+參數1或參數1+@后的域名構建最終的參數
搜索鏈接形式包括
http://www.altavista.com/web/results?q=%s&kgs=0&kls=0&nbq=%d
http://www.altavista.com/web/results?q=%s&kgs=0&kls=0
http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=&n=%d
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=&num=%d
前一個參數為之前構造的字符串,后一個表示搜索數量20/50隨機
篩選域名與用戶信息
篩選域名信息
嵌套循環,外層獲取到的域名字符串,內層指定域名字符串,只要獲取到的域名中包含了其中指定的字符串,就會排除。
avp,syma,sarc.,microsoft,msdn,msn.,hotmail,panda,spersk,yahoo,sophos,example,domain,uslis,update,trend,foo.com,bar.,secur,seclist,gmail,gnu.,google,arin.,ripe.,sourcedorge,sf.net,rarsoft,winzip,winrar
用戶信息排除
全字符匹配
info
noone
nobody
nothing
anyone
someone
your
you
me
rating
site
soft
no
foo
help
not
feste
ca
gold-certs
the.bat
page
子串匹配
admin
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d
構建欺騙郵件與附件
構建欺騙郵件信息
發件人信息構造方式
tb1 = ["Mail Delivery Subsystem","MAILER-DAEMON","Returned mail","Bounced mail","The Post Office","Post Office","Automatic Email Delivery Software","Mail Administrator","Postmaster"]
tb2 = ["MAILER-DAEMON","noreply","postmaster"]
這兩個列表隨機組合,最終組合形式tb1+<+tb2+@+域名+>,例如The Post Office<noreply@qq.com>
郵件主題
作為發送失敗的信息
Returned mail: Data format error
Returned mail: see transcript for details
Delivery reports about your e-mail
Mail System Error - Returned Mail
Message could not be delivered
delivery failed
report
test
status
error
hi
hello
指定附件類型
實際上,這里就是分為了兩部分,前部分偽造信息為htm,html,txt,doc,后部分為com,pif,scr,exe,實際上后部分才是附件真正的格式。例如pwd.txt .exe
或者直接為.zip文件
構建欺騙郵件信息
參考:https://famguardian.org/Subjects/Computers/Security/ImpersEmailAddr.htm
提取附件郵箱信息
遞歸遍歷目錄,獲取指定后綴文件中的郵箱地址
遞歸遍歷目錄C:\Local Settings\Temporary Internet Files\.,獲取指定文件包含的郵箱信息
查找指定后綴文件中的郵件信息,並且也對其中的信息進行了篩選
.pl*.ph*.tx*.tbb.ht*.asp.sht.dbx.adb.wab
遞歸遍歷硬盤驅動器或閃存驅動器(字符從C增加),獲取指定后綴文件中的郵箱地址
這里還有一些郵件的內容信息
services.exe
| 信息 | 值 |
|---|---|
| 文件名 | services.exe |
| 文件類型 | WIN 32 EXE |
| 文件大小 | 8192 bytes |
| MD5 | b0fe74719b1b647e2056641931907f4a |
| SHA-256 | bf316f51d0c345d61eaee3940791b64e81f676e3bca42bad61073227bee6653c |
| 加殼 | UPX 2.90 |
包含文件行為,注冊表修改,網絡行為
靜態分析
主要做了三件事
- 對zincite.log文件操作
- 修改注冊表,設置services.exe為自啟項
- 綁定端口號1034,作為服務器開放監視端口(后門)
java.exe和主程序相同的
| 信息 | 值 |
|---|---|
| 文件名 | java.exe |
| 文件類型 | WIN32 EXE |
| MD5 | 90c2d4ca3613c5d17f1c938ce076fef2 |
| 文件大小 | 41664 bytes |
IOC信息
家族:Mydoom描述:MyDoom是一種通過電子郵件附件和P2P網絡Kazaa傳播的病毒,當用戶打開並運行附件內的病毒程序后,病毒就會以用戶信箱內的電子郵件地址為目標,偽造郵件的源地址,向外發送大量帶有病毒附件的電子郵件,同時在用戶主機上留下可以上載並執行任意代碼的后門。MD5S:3d466b0f8ba9f3fe03e137a34d79f68290c2d4ca3613c5d17f1c938ce076fef2b0fe74719b1b647e2056641931907f4aIPS15.54.159.1494.240.75.254TTPSUPX加殼郵件發送失敗返回注冊表修改自啟項遞歸遍歷獲取郵箱信息搜索引擎構建鏈接獲取郵箱信息文件特征字符串java.exeservices.exezincite"Mail Delivery Subsystem","MAILER-DAEMON","Returned mail","Bounced mail","The Post Office","Post Office","Automatic Email Delivery Software","Mail Administrator","Postmaster","MAILER-DAEMON","noreply","postmaster"Returned mail: Data format errorReturned mail: see transcript for detailsDelivery reports about your e-mailMail System Error - Returned MailMessage could not be delivereddelivery failedreportteststatuserrorhihello