创意安天

 找回密码
 注册创意安天

Flame蠕虫样本集分析报告

[复制链接]
发表于 2012-8-1 10:26:24 | 显示全部楼层 |阅读模式
本帖最后由 wobaxindiule 于 2012-8-1 10:52 编辑

3.jpg


   Flame蠕虫样本集分析报告V1.3.0
2.jpg          
                   安天实验室安全研究与应急处理中心(Antiy CERT)



















1.jpg


创造安全每一天







   日期    版本      说明   
  2012-5-31    V1.1.0    在拿到主模块后开始分析,简单分析了主模块的一些行为,并继续收集有关的样本。  
  2012-6-5    V1.1.1    针对主模块进行详细分析,并开始分析其它各模块。本次更新了Soapr32.ocx的分析。其中字符串采用了加密混淆的方式。  
  2012-6-8    V1.1.2    本次更新了对Msglu32.ocx的分析,此模块会查找系统中的一些文件类型如:office各种格式文档(包括docx、xlsx、pptx等)还有别的类型文件。主模块更新了部分内容。其中字符串密加和Soapr32.ocx很相似。  
  2012-6-11    V1.1.3    本次更新了对Nteps32.ocx的分析,此模块有键盘记录和截取屏幕信息,所记录的信息都是通过加密的。具体加密方式还在分析中。更新部分主模块的分析。  
  2012-6-15    V1.1.4    本次更新了对Advntcfg.ocx的分析,该模块的主要功能是截取屏幕信息和收集系统中的其它信。其中字符串加密和Nteps32.ocx是用的同一种法,参数都是相同的。  
  2012-6-18    V1.1.5    对主模块的持续更新中,修正了部分其它模块的分析和内容。  
  2012-6-23    V1.1.6    对这前几个模块的字符串加密码进行了总结给,和对主模块的部分内容更新。并收集其它模块。  
  2012-7-2    V1.1.7    本次更新修改了上版本的几外问题,还有几处没有修改完明天应全部修改完。今天新增主模块部分分析,和各模块字符串各法对比表。还有两个模块在分析中。  
  2012-7-4    V1.1.8    本次新增了文件功能表、所有衍生文件表和browse32.ocx模块分析,修改了各模块字符串解密表。给出遍历进程列表中的文件说明。  
  2012-7-5    V1.1.9    新增LUA脚本调用函数列表107个,见附录6,其它模块还在分析中。  
  2012-7-6    V1.2.0    Flame 中发现lua模块的静态编译版本和原始文模块内容相同,还新增了主模块部分新分析出来的内容。  
  2012-7-9    V1.2.1    在主模块中整理出来的LUA函数,还有一些没分析出来,还在分析中。在主模块中找出LNK文件漏洞创建的INF文件内容。多处加密码算法还在验证是什么算法。  
  2012-7-10    V1.2.2    更新证明LUA函数如何调用,  jimmy.dll模块在分析中,主模块多处加密码算法还在验证中。  
  2012-7-11    V1.2.3    更新Flame运行后整体过程,还有一些在整理。新加jimmy.dll模块分析,确定了病毒中使用的LUA版本为5.1,而lua 5.1版本发布的时间为:2006年2月21日,这也证明了Flame的开发时间应为2006年2月21日之后。  
  2012-7-12    V1.2.4    发现Flame中的这些被包含在结构中的函数为Debug版,并对照LUA中的Debug版进行了对照是完全一样的。  
  2012-7-13    V1.2.5    在主模块中分析出来一些LUA用的函数有近150个函数可见附录七。  
  2012-7-16    V1.2.6    Lua函数调用还在分析中,今天在内存中找到了一些类似像结构或是类的一些东西见有4000多个  
  2012-7-17    V1.2.7    把DES算法部分证实了,发现调用函数中有16处循环计算表达式。是DES加密算法的明显特征。计算出每个数值后,后面的异或操作也和DES算法的计算方式匹配。  
  2012-7-18    V1.2.8    主模块加载资源到内存,进行简单异或解密:首先传入DB DF AC A2 作为文件头,然后对资源逐字节解密。  
  2012-7-19    V1.2.9    经过对Flame调用lua函数的分析总结发现Flame调用lua脚本的方式。首先程序在初始化过程中在lua环境内创建一些表,然后再这些表中保存key,value形式的键值对,后续通过获取指定的表,然后将表中指定的key的值取出来,作为lua代码执行。  
  2012-7-20    V1.3.0    lua函数解密部分还在分析中,分析00004069.exe文件和boot32drv.sys为同一文件,并在创建的一个服务中调用。其服务在创建完服务后直接将其启动,并加载一些文件后删除些服务。  
 楼主| 发表于 2012-8-1 10:55:47 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-1 11:21 编辑

分析小组絮语
2.jpg

在我们工作的精力中还从没出现过这样的情况,一个分析小团队接近一个月的时间里,只面对一个恶意代码,并且还计划把工作继续下去,尽管在Stuxnet蠕虫中,我们尝试这样做过,但小组只工作了不到10天的时间,便浅尝辄止了。我们自陆续对StuxnetDuquFlame进行分析以来,我们逐渐的发现作为传统的AVER,在面对挑战和变革时传统的方法必须被打破。

传统的恶意代码主要目的为感染更多的计算机,后期演化成利益链条,所以其开发简单直接,功能明确,他们往往采用单体的文件,尽量减小体积以利于可靠传播,因此对其进行分析也相对容易。从另一个意义上说,地下经济虽然催生了类似TrojaBot等的爆发,但并没有影响到攻守双方的平衡,反病毒团队依托捕获体系和后端的自动化分析平台,几乎所有的反病毒厂商都能在很少的人工分析的工作支持下,应对海量的恶意代码。甚至仅凭自动化系统,在无人值守的情况下,新的检测规则同样可以被从新的样本提取出来,并分发给反病毒产品。因此我们滋长了惰性,过多的依赖沙箱和其他的自动化环节,甚至我们一度以为病毒分析工程师的使命正在被淡化和消亡。

而今天的在面对StuxnetFlame等病毒时,一切不同了,用户更多询问我们的不是“如何发现、你的产品能不能杀掉”,而是“他到底干了什么?”、“我如何避免今后类似的攻击”?这些都让我们必须从分析流水线的操纵者,重新变回贴身肉搏的战士,我们需要回到短兵相接的现场勘察、环境复现和深入细腻的后端分析中。

Flame的文件数量和总体大小都是令人震撼的,与之前我们看到的APT场景下的恶意代码一样,类似样本采用模块化,框架化开发,结构复杂,文件较多,但Flame几乎达到了难以想象的程度。其模块分工亦导致了其隐蔽性较好,躲避杀软的能力较高。并且内部封装了各种加密模块来隐藏重要信息。这些体积庞大结构复杂的恶意代码在APT攻击中扮演着精密的任务,其对环境特征的监察非常准确,如果发现环境信息不符合其感染的目的则直接退出,并完全清除痕迹,这种样本不会大规模爆发,依托大量配置信息和远程调度完成工作,在被发现时一般目的已经达成。我们习惯性的分析单体病毒样本,依托自动化分析结果和少量的反汇编,包括那些在分析报告之前,加一个带有hash值的样本标签的习惯工作思路,应对这种复杂的局面时,都显得那样的幼稚和过时。

因此面对这样多的样本和衍生文件,我们最终选择了蚂蚁搬家的方法,小组每人分工分析不同的模块,并把分析结果随手记录下来,我们不指望最终有一篇巨大的研究报告,而是能把这些点滴集合起来,为应对这种攻击提供一些研究基础。小组内有两条线路,一是主模块分析,主模块文件体积有6MB多,分析时投入的时间较多。主要对其加密算法、字符串信息、整体结构等方面进行分析。二是其它模块功能分析,在分析模块功能时发现部分模块具有相同的功能如:收集信息、遍历进程、屏幕窃取等。在分析过程中我们还在内存中发现很多有意思的信息,但我们依然陷于“猜谜”之中。


   我们在后续会继续我们的工作,并力图把更多结果,更新到这份报告之上。在一段时间内,能够持续去做一件有意义的事,是幸福的,特别是与伙伴在一起做的时候。


安天实验室安全研究与应急处理中心

PluckSkyWhitePillcor

2012.07.31

 楼主| 发表于 2012-8-1 10:57:03 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:18 编辑

目录
2.jpg
第1章 事件背景
第2章 Flame蠕虫文件信息
第3章 功能分析
        3.1  MSSECMGR.OCX主模块分析
        3.2  Soapr32.ocx模块分析
        3.3  Advnetcfg.ocx模块分析
        3.4  Nteps32.ocx模块分析
        3.5  Msglu32.ocx模块分析
        3.6  Wusetupv.exe模块分析
        3.7  Boot32drv.sys解密分析
        3.8  Browse32.ocx模块分析
        3.9  Jimmy.dll模块分析
第4章 总结与展望
第5章 附录
        附录一
        附录二
        附录三
        附录四
        附录五
        附录六
        附录七
        参考文献
 楼主| 发表于 2012-8-1 11:17:51 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 10:19 编辑

第1章 事件背景


    安天实验室于2012528日起陆续捕获到Flame蠕虫的样本,截止到目前安天已经累计捕获Flame蠕虫主文件的变种数6个,其它模块为20多个不同哈希值的样本实体,并通过这些样本进一步生成了其他的衍生文件。安天成立了专门的分析小组,经过持续分析,发现它是采用多模块化复杂结构实现的信息窃取类型的恶意软件。其主模块文件大小超过6MB。包含了大量加密数据、内嵌开源软件代码(如LUA等)、漏洞攻击代码、模块配置文件、多种加密压缩算法,信息盗取等多种模块。在漏洞攻击模块中发现了Stuxnet使用过的USB攻击模块,Stuxnet事件是发生在2010年针对伊朗核设施的APT攻击事件[1]

据外界现有分析,该恶意软件已经非常谨慎地运作了至少两年时间[2],它不但能够窃取文件,对用户系统进行截屏,通过USB传播禁用安全厂商的安全产品,并可以在一定条件下传播到其他系统,还有可能利用微软Windows系统的已知或已修补的漏洞发动攻击,进而在某个网络中大肆传播。

目前业内各厂商对该蠕虫的评价如下:McAfee认为此威胁是StuxnetDuqu攻击的继续[3];卡巴斯基实验室则认为Flame攻击是目前发现的最为复杂的攻击之一[4],它是一种后门木马并具有蠕虫的特征。赛门铁克认为,Flame与之前两种威胁StuxnetDuqu一样,其代码非一人所为,而是由一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写。

 楼主| 发表于 2012-8-1 11:19:37 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 09:28 编辑

第2章 Flame蠕虫文件信息

   

文件名

   
   

文件MD5与大小

   
   

功能

   
  

mssecmgr.ocx

  
  

b51424138d72d343f22d03438fc9ced5       (1,236,992字节)

  

0a17040c18a6646d485bde9ce899789f       (6,172,160字节)

  

ee4b589a7b5d56ada10d9a15f81dada9   (892,417字节)

  

e5a49547191e16b0a69f633e16b96560       (6,166,528字节)

  

bdc9e04388bda8527b398a8c34667e18 (1,236,992字节)

  

37c97c908706969b2e3addf70b68dc13  (391,168  字节)

  
  

主模块运行后会将其资源文件中的多个功能模块解密释放出来,并将它们注入到多个系统进程中。它通过调用Lua来执行脚本完成指定功能。

  
  

advnetcfg.ocx

  
  

f0a654f7c485ae195ccf81a72fe083a2    (643,072  字节)

  

8ed3846d189c51c6a0d69bdc4e66c1a5  (421,888  字节)

  

bb5441af1e1741fca600e9c433cb1550   (643,944  字节)

  
  

由主模块创建:截取屏幕信息。

  
  

msglu32.ocx

  
  

d53b39fb50841ff163f6e9cfd8b52c2e       (1,721,856  字节)

  

2512321f27a05344867f381f632277d8       (1,729,536  字节)

  
  

由主模块创建:遍历系统中的各种类型的文件,读取特定文件类型文件的信息,将其写入到sql数据库中,同时也可以收集文件中与地域性相关的一些信息。

  
  

nteps32.ocx

  
  

c9e00c9d94d1a790d5923b050b0bd741 (827,392 字节)

  

e66e6dd6c41ece3566f759f7b4ebfa2d   (602,112 字节)

  

5ecad23b3ae7365a25b11d4d608adffd     (827,392 字节)

  
  

由主模块创建:用来键盘记录和截取屏幕信息。对一些邮件域名进行监控。

  
  

rpcns4.ocx

  

soapr32.ocx

  
  

296e04abb00ea5f18ba021c34e486746  (160,768  字节)

  

1f9f0baa3ab56d72daab024936fdcaf3    (188,416  字节)

  

cc54006c114d51ec47c173baea51213d   (253,952  字节)

  

e6cb7c89a0cae27defa0fd06952791b2   (349,596  字节)

  
  

用来收集信息的功能模块。获取系统中的一些信息的,例如:安装的软件信息、网络信息、无线网络信息、USB信息、时间以及时区信息等。

  
  

comspol32.ocx

  
  

20732c97ef66dd97389e219fc0182cb5  (634,880  字节)

  
  

分析中.

  
  

00004784.dll

  

(jimmy.dll)

  
  

ec992e35e794947a17804451f2a8857e  (483,328  字节)

  
  

是用来收集用户计算机信息,包括窗体标题、注册表相关键值信息,计算机名,磁盘类型等。

  
  

wusetupv.exe

  
  

1f61d280067e2564999cac20e386041c  (29,928  字节)

  
  

收集本机各个接口的信息,进程信息,注册表键值信息。

  
  

DSMGR.DLL

  

browse32.ocx

  
  

2afaab2840e4ba6af0e5fa744cd8f41f     (116,224  字节)

  

7d49d4a9d7f0954a970d02e5e1d85b6b(458,869 字节)

  
  

用来删除恶意软件所有痕迹,防止取证分析。

  
  

boot32drv.sys00004069.exe

  
  

06a84ad28bbc9365eb9e08c697555154(49,152 字节)

  
  

它是一个加密数据文件并不是PE文件,加密方式是通过与0xFFxor操作。

  

表2-2Flame蠕虫所有衍生文件和其它文件列表



   Ef_trace.log      dstrlog.dat      mscorest.dat      soapr32.ocx      winrt32.dll   
  GRb9M2.bat    dstrlogh.dat    mscrypt.dat    srcache.dat    winrt32.ocx  
  Lncache.dat    fmpidx.bin    msglu32.ocx    sstab.dat    wpab32.bat  
  Temp~mso2a0.tmp    indsvc32.dll    mspovst.dat    sstab0.dat    wpgfilter.dat  
  Temp~mso2a1.tmp    indsvc32.ocx    mssui.drv    sstab1.dat    ~8C5FF6C.tmp  
  Temp~mso2a2.tmp    lmcache.dat    mssvc32.ocx    sstab10.dat    ~DF05AC8.tmp  
  advnetcfg.ocx    ltcache.dat    nt2cache.dat    sstab11.dat    ~DFD85D3.tmp  
  advpck.dat    m3aaux.dat    ntaps.dat    sstab12.dat    ~DFL543.tmp  
  audfilter.dat    m3afilter.dat    ntcache.dat    sstab15.dat    ~DFL544.tmp  
  authcfg.dat    m3asound.dat    nteps32.ocx    sstab2.dat    ~DFL546.tmp  
  authpack.ocx    m4aaux.dat    pcldrvx.ocx    sstab3.dat    ~HLV084.tmp  
  boot32drv.sys    m4afilter.dat    posttab.bin    sstab4.dat    ~HLV294.tmp  
  ccalc32.sys    m4asound.dat    qpgaaux.dat    sstab5.dat    ~HLV473.tmp  
  commgr32.dll    m5aaux.dat    rccache.dat    sstab6.dat    ~HLV751.tmp  
  comspol32.dll    m5afilter.dat    rpcnc.dat    sstab7.dat    ~HLV927.tmp  
  comspol32.ocx    m5asound.dat    scaud32.exe    sstab8.dat    ~KWI988.tmp  
  ctrllist.dat    mixercfg.dat    scsec32.exe    sstab9.dat    ~KWI989.tmp  
  dmmsap.dat    mixerdef.dat    sdclt32.exe    syscache.dat    ~TFL848.tmp  
  domm.dat    mlcache.dat    secindex.dat    syscache3.dat    ~TFL849.tmp  
  domm2.dat    modevga.com    sndmix.drv    watchxb.sys    ~ZFF042.tmp  
  domm3.dat    mpgaaux.dat    mscorest.dat    wavesup3.drv    ~a28.tmp  
  dommt.dat    mpgaud.dat    mscrypt.dat    winconf32.ocx    ~a38.tmp  
  ~dra51.tmp    ~dra52.tmp    ~dra53.tmp    ~dra61.tmp    ~rei524.tmp  
  ~rei525.tmp    ~rf288.tmp                 

 楼主| 发表于 2012-8-1 11:39:44 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 11:40 编辑

第3章 功能分析


3.1 MSSECMGR.OCX主模块分析

蠕虫主模块是一个文件名为mssecmgr.ocx的DLL文件,我们发现该模块已有多个衍生版本,文件大小为6M,运行后会连接C&C服务器,并试图下载或更新其它模块。主模块不同时期在被感染的机器上文件名有不同,但扩展名都为“OCX”。运行后的主模块会将其资源文件中的多个功能模块解密释放出来,并将多个功能模块注入到多个进程中,功能模块具有获取进程信息、键盘信息、硬件信息、屏幕信息、麦克风、存储设备、网络、WIFI、蓝牙、USB等多种信息的功能。所记录的信息文件存放在%Windir%\temp\下。该蠕虫会先对被感染系统进行勘察,如果不是其想要的攻击对象,它将会自动从被感染系统卸载掉。蠕虫最有可能是通过欺骗微软升级服务器对本地网络传播和通过一个USB接入设备进行传播。蠕虫还能够发现有关其周边设备的信息。通过蓝牙装置,它会寻找其它设备,比如手机或笔记本电脑等。此蠕虫和以往蠕虫有很大程度上的不同,首先主模块体积很大,并包含多个功能模块,内嵌Lua解释器和大量Lua脚本,进行高层的功能扩展。启动方式比较特殊,具有多种压缩和加密方式。
1.
本地行为

1)添加注册表

  • HKLM_SYSTEM\CurrentControlSet\Control\Lsa
  • AuthenticationPackages = mssecmgr.ocx
   注:该键值会达到开机加载mssecmgr.ocx的目的。
       该文件路径为:%system32%\mssecmgr.ocx。

2)文件运行后会释放以下文件
    通过对“146”资源进行释放并加载运行,以下为资源释放的模块:
        
  

   文件      MD5   
  %System32%\advnetcfg.ocx    BB5441AF1E1741FCA600E9C433CB1550  
  %System32%\boot32drv.sys    C81D037B723ADC43E3EE17B1EEE9D6CC  
  %System32%\msglu32.ocx    D53B39FB50841FF163F6E9CFD8B52C2E  
  %Syste32m%\nteps32.ocx    C9E00C9D94D1A790D5923B050B0BD741  
  %Syste32m%\soapr32.ocx    296E04ABB00EA5F18BA021C34E486746  
  %Syste32m%\ccalc32.sys          5AD73D2E4E33BB84155EE4B35FBEFC2B  

其他文件:

  • %Windir%\Ef_trace.log
    在%ProgramFiles%\Common Files\MicrosoftShared\MSAudio目录下为各模块的配置信息和自身副本文件,从网络中更新或下载新模块配置也会在这里,列表如下:
  • Audcache
  • audfilter.dat
  • dstrlog.dat
  • lmcache.dat
  • ntcache.dat
  • mscrypt.dat

在分析过程中发现以上文件可能为病毒的配置文件,当病毒要进行一个操作前先读取此文件中的一块信息,然后完成其指定的操作。病毒先将以上文件释放然后删除一次,最后又重新释放,推测为不同功能之间的重复操作导致。

  • wavesup3.drv(自身副本)
  • wpgfilter.dat
跟据“146”资源配置还可能会存在以下文件目录:
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
  • %ProgramFiles%\Common Files\Microsoft Shared\MSAudio
  • %ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
  • %ProgramFiles%\Common Files\Microsoft Shared\MSAPackages
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix

3)遍历安全进程列表
    关于遍历安全进程列表内容参见附录一(详见附录一:为Mssecmgr.ocx文件中的遍历安全进程列表,其列表和别它模块中的一些遍历进程列表中一些进程是相同的。)

4)在主模块中发现一个LUA脚本调用函数列表内容参见附录六。(详见附录六:为Mssecmgr.ocx文件中的LUA脚本调用函数列表内容)

2.网络行为
访问地址1:http://windowsupdate.microsoft.com/
访问地址2:http://windowsupdate.microsoft.com/windowsupdate/v6/default.aspx
协议:Http
端口:80
访问地址:
91.135.66.118[traffic-spot.com][traffic-spot.biz][smart-access.net][quick-net.info]
协议:https
端口:443
    病毒运行后,首先访问windows系统升级服务器地址,然后对IP地址为91.135.66.118的四个域名进行访问,并回传数据。

4.jpg

图3-1 1Post数据





    连接所有的域名信息参加附录二(附录二:连接所有域名列表)。

3.样本文件启动加载顺序

5.jpg

图3-2文件启动加载顺序

该病毒的加载方式有两种,一种是在注册表中添加键值,另一种是利用批处理文件来执行dos命令运行rundll32.exe加载主模块运行。

首先查询注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit和查看%Program Files%\CommonFiles\Microsoft Shared\MSAudio\wavesup3.drv文件是否存在。写入HKLM\System\CurrentControlSet\Control\TimeZoneInformation\StandardSize值为:114。

创建MSSecurityMgr目录,写入文件mscrypt.dat,在查询信息文件时每查询后会把更改时间写成1601-1-1 08:00:00,经过1分中后写入wpgfilter.dat文件在查询信息文件时每查询后会把更改时间写成1601-1-108:00:00,经过1分钟左右后写入wavesup3.drv文件查询后会把更改时间写成1601-1-1 08:00:00,写入文件wavesup3.drv后会写入audcache文件接着写入audfilter.dat文件。然后查找以下文件:

  • C:\Documents and Settings\Administrator\Local Settings\Temp\dat3C.tmp
  • C:\Documents and Settings\All Users\Local Settings\Temp\dat3C.tmp
  • C:\Documents and Settings\Default User\Local Settings\Temp\dat3C.tmp
  • C:\Documents and Settings\LocalService\Local Settings\Temp\dat3C.tmp
  • C:\Documents and Settings\NetworkService\Local Settings\Temp\dat3C.tmp
  • C:\WINDOWS\Temp\dat3C.tmp

然后注入进程services.exe调用系统文件shell32.dll文件,并劫持shell32.dll内容,把wpgfilter.dat的内容加载到shell32.dll中,再加载audcache文件内容到shell32.dll中。再加载wavesup3.drv文件,然后释放nteps32.exe文件、comspol32.ocx、advnetcfg.ocx、boot32drv.sys、msglu32.ocx,并将它们的时间改为Kernel32.dll文件的时间,以此躲避安全软件的检测。
    然后注入到Winlogon.exe进程中调用系统文件shell32.dll文件,并劫持shell32.dll内容,把Netps32.ocx和Ccalc32.sys的内容加载到shell32.dll中。并将它们的时间改为Kernel32.dll文件的时间,为了躲避安全软件的检测。
    通过注入Explore.exe进程调用系统文件shell32.dll文件,并劫持shell32.dll内容,并使其创建iexplore.exe进程,把wpgfilter.dat的内容加载到shell32.dll中,然后再加载audcache文件内容到shell32.dll中。几分钟后加载wavesup3.drv文件。查询注册表系统服务项,连接微软升级服务器,然后再连接病毒服务器。

程序中大量数据被加密。加密算法代码位置如下:
0x1000E3F5 procnear
                   test    edx,  edx
                   push  esi
                   mov   esi,   eax
                   jbe     short  0x1000E42F
                   push  ebx
                   push  edi
                   push  0Bh
                   pop    edi
                   sub     edi,  esi
0x1000E403:
                   lea     ecx ,   [edi+esi]
                   lea     eax,   [ecx+0Ch]
                   imul   eax,   ecx
                   add    eax,   dword_10376F70
                   mov   ecx,   eax
                   shr     ecx,   18h
                   mov   ebx,   eax
                   shre   bx,     10h
                   xor     cl,       bl
                   mov   ebx,   eax
                   shr     ebx,    8
                   xor     cl,       bl
                   xor     cl,       al
                   sub    [esi],  cl
                   inc     esi
                   dec    edx
                   jnz     short   0x1000E403
                   pop    edi
                   pop    ebx
0x1000E42F:
                   pop    esi
                   retn
0x1000E3F5 endp

对该函数的调用有2个函数。分别位置如下:

1000E451        movzx    edx,    word   ptr   [ebx+9]
1000E455        lea           eax,    [ebx+0Bh]
1000E458        mov        [ebp+8],   eax
1000E45B        call          0x1000E3F5

1000E498        movzx    edx,   word    ptr   [esi+12h]
1000E49C        lea           ebx,   [esi+14h]
1000E49F        mov         eax,   ebx
1000E4A1        call          0x1000E3F5

解密算法说明:
函数有两个参数:edx [解密字符串长度]eax[解密字符串的起始地址]
返回值:eax[解密后字符串的起始地址]
解密算法:
ECX=(0xBh+n)*(0xBh+0xCh+n)+[0x10376F70h]
注意:n是要解密的字符距起始字符的距离.
CL=(M1)xor(M2)xor(M3)xor(M4)
解密数据 = 加密数据 – CL
第一次调用:
函数有一个参数:arg.1[地址]
解密字符串长度:[word]arg.1+0x9h
解密字符串起始地址:[dword]arg.1+0xBh
返回值:解密后字符串的起始地址
第二次调用:
函数有一个参数:arg.1[address]
解密字符串长度: [word]arg.1+0x12h
解密字符串起始地址: [dword]arg.1+0x14h
返回值:解密后字符串的起始地址

4.实现细节
    对该病毒的调试过程中发现其将所有的指针通过函数EncodePointer进行编码后存储到内部结构中(这也与Duqu的实现方式类似),当使用时再调用DecodePointer解码使用,这样做会使对其静态分析变得极其困难。这个病毒使用了通过获取系统dll
文件的导出函数表并循环查找指定函数的方法来动态获取函数地址,此方法是恶意代码的惯用手段,详见代码。

mov          eax,      [ebp-4]

mov          eax,      [esi+eax*4]          //export func nameoffset

add          eax,     [ebp+module_handle]

push         [ebp+func_name_size]

mov          [ebp+export_func_name],    eax

push          eax

call          IsBadReadPtr

test            eax,      eax

jnz              0x1000BE19

push           [ebp+func_name]

push           [ebp+export_func_name]

call           lstrcmpiA

test             eax,    eax

jz                 short   0x1000BE2B

3-3动态获取指定Dll文件中的函数