0x0 病毒介绍
感染型病毒通过修改主机中的其他正常文件达到某些目的,为了躲避杀毒软件的查杀将自身分隔、变形或加密后,再将自身的一部分或者全部附加到宿主程序上,他极有可能修改系统中的绝大多数程序,或使其执行后门程序,或使其无法正常执行等目的。
感染型木马逐渐采纳了木马程序的编写手段和功能,使其更加善于潜伏并完成某种预先设定的功能,在功能上将会融合更多后门和木马的特征,如下载运行、广告程序、盗取隐私、远程控制等,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。
本次分析的病毒伪装成为microsoft telnet client服务是流行于xp系统的感染型病毒,该病毒的关键行为是对主机系统的进程进行注入,使其无法正常运行或执行预定的脚本代码。
0x1 概述
样本名:4865fa85d9ee28bfab97d073a3dde8a3.exe
MD5:4865fa85d9ee28bfab97d073a3dde8a3
分析环境及工具:winXpsp3、IDA6.8、x64Dbg、火绒剑、哈勃
0x2、相关文件
1. 4865fa85d9ee28bfab97d073a3dde8a3.exe:样本,主要行为。
0x3、行为预览:
1. 遍历进程,创建远程线程,跨进程写入代码
2. 关闭文件保护
0x4、报告正文:
分析过程:
1.打开Software\\Microsoft\\TelnetClient注册表项查询键值,查询安装路径加载telnetcr.dll。
2.创建套接字,创建窗口。
3.设置注册表Software\\Microsoft\\TelnetClient键值。
4.进入消息循环后申请堆空间,解密代码到堆空间,然后执行堆空间代码。
5.调整进程权限,调整进程的访问控制权限,创建互斥体。
6.拷贝自身到系统临时目录然后执行
7.等待其他线程执行完毕后删除程序,结束进程。
8.会创建3个线程来进行工作,下面分别来介绍:
(1)1号线程用于加载sfc.dll,寻找winlogon.exe禁用文件保护,接受消息给窗口分发消息
(2)2号线程用于循环注入,检测调试器
1)提升当前线程优先级,检查调试器。
2)循环遍历进程进行注入。
(3)3号线程用于应对界面操作,伪装成microsoft telnet client服务,内有消息循环可以完成正常的microsoft telnet client服务所有操作。
9.经过分析发现注入到其他进程代码和在本进程空间的代码一模一样。
0x5、总结:
通过想所有进程注射代码,来到迷惑杀毒软件,在没有修改文件的前提下可以通过重启计算机删掉文件达到清除病毒的目的。可以通过互斥量 Global\查看自己是否被感染,
被感染的进程也会注入其他进程,这样会占用电脑内存,拖慢电脑速度。
流程图: