专伤浏览器、会“自杀”的木马病毒样本简单分析

浏览:
字体:
发布时间:2013-12-13 14:31:29
来源:
此病毒预警是由国家计算机病毒应急处理中心近期发布的,该病毒会自我删除进行隐藏,还会向IE收藏夹中释放URL快捷方式,并篡改IE首页和下载其他木马、病毒等恶意程序。本文对此病毒进行了分析。

此病毒预警是由国家计算机病毒应急处理中心近期发布的,内容如下:近期出现一种恶意木马病毒,该程序会自我删除进行隐藏,向IE的收藏夹中释放URL资源地址快捷方式,强行篡改IE主页并下载其他木马、病毒等恶意程序。下面我们就简单分析一下这个病毒样本。

病毒样本简介

File:dndSet0.exe

Size:482kb

MD5:2204C5FA2F840C5C02605E9F628F8016

瑞星v16:Trojan.Win32.Generic.149277E0

病毒样本截图如图1所示,既然是国家计算机病毒应急处理中心发布的预警,瑞星v16当然肯定可以查杀此病毒样本,瑞星v16查杀该样本如图2所示。

图1:病毒样本

图2:瑞星v16查杀此病毒样本

病毒行为分析

本例讲解的病毒行为分析中所用到的工具是mymonitor,这是一款基于病毒API监控的工具,可以实现对于病毒程序运行过程的全程跟踪分析,并根据分析出的病毒行为得出分析报告,其特点包括:1、反映全部进程及子进程的API调用,2、查看文件读写、删除情况,3、查看注册表读写,4、线程模块调用,工具运行界面如图3所示。

图3:MyMonitor工具界面

如图3所示,我们简单介绍一下这个工具。这个工具运用起来很简单,界面分左右及上下共三个窗口,左侧窗口列出的是当前系统所有进程,右侧窗口是监控窗口,可以将我们要分析的样本直接拖到这个窗口。拖入这个窗口后病毒就会跑起来,而下面的日志窗口就会记录一些病毒的行为。工具运行后默认就处于监控状态,在使用这个工具前,我们要先来进行简单的设置,如设置保存删除文件的路径及生成报告的保存路径等,如图4所示。

图4:MyMonitor工具设置界面

设置好之后我们就可以将病毒样本拖到右侧的窗口,需要提醒一下的是,此工具最好在虚拟机下使用,以免实机运行后导致系统中毒。接下来,我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,如图5所示,MyMonitor对病毒样本进入监控状态。

图5:MyMonitor对病毒样本的监控

为了更好地展示病毒行为,我们对MyMonitor工具事先做了设置,勾选创建进程前询问。随后我们将本例病毒样本dndSet0.exe直接拖入右侧窗口,MyMonitor工具立即弹出创建新进程的提示,如图6所示。

图6:MyMonitor工具弹出进程创建提示

根据MyMonitor工具提示,我们简单分析一下病毒行为,首先,dndSet0.exe要在系统临时目录下创建dndTMP文件夹,并向此文件夹下写入Fav~Url.tmp文件。当然,为了继续监控病毒行为,在这里我们点击是,也就是允许创建,允许创建后我们看一下MyMonitor工具后续又监控到了哪些病毒行为,如图7所示。

图7:Fav~Url.tmp向系统收藏夹下写入大量的url快捷方式

病毒行为之一:如上图所示,Fav~Url.tmp在向系统收藏夹写入如淘宝购物、驴家旅游等url快捷方式,主要用来对网站进行推广。如图8所示,显示出系统IE浏览器的收藏夹下被写入的推广网站的url快捷方式。

图8:IE浏览器收藏夹被写入大量的推广网站url快捷方式

Fav~Url.tmp在写入大量的推广网站url快捷方式之后就退出了,mymonitor工具监视到Fav~Url.tmp退出如图9所示。

图9:mymonitor监控到的Fav~Url.tmp退出行为

Fav~Url.tmp退出之后,mymonitor又监控到了病毒另一行为,如图10所示,调用命令行,并以隐藏命令行窗口的方式执行命令:C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx。

图10:mymonitor监控到的新的创建进程行为

根据命令提示大致可以猜测出病毒是想将系统临时目录下的fbinst.dll拷贝到C:/WINDOWS/dndOnce/并命名为SUPPORT.IM_,同样,为了继续观察病毒行为,在这里我们点击是,如图11所示,mymonitor监控到病毒行为。

图11:mymonitor监控到执行结果

在执行C:/WINDOWS/system32/cmd.exe /c C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/fbinst.dll "C:/WINDOWS/dndOnce/SUPPORT.IM_" output IMG/* %~nx命令行之后,mymonitor又监控到了病毒以隐藏命令行窗口的方式执行命令C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50&reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f,修改IE主页为http://www.hao123.com.vc,如图12所示。

图12:修改IE主页为http://www.hao123.com.vc

同样在这里点击是,允许病毒修改IE主页,点击是之后,我们来查看一下主页,如图13所示,IE浏览器主页被修改为http://www.hao123.com.vc,最终访问到的地址为http://www.hao123.com/?tn=43061099_195_hao_pg。

图13:IE主页被修改为http://www.hao123.com/?tn=43061099_195_hao_pg

简单解释一下图12的命令行。首先,病毒以隐藏命令行窗口的方式执行了“以发送50次回显请求数”,ping -n 50指ping时发送包的次数,这里为50次,本机回环地址为127.0.0.1,C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50这个命令行完成之后,使用reg注册表命令执行强制修改主页为http://www.hao123.com.vc,也就是“
&reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”这段命令行。

符号“&”应该是并列执行的意思,可以理解为:

1. 执行C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 50

2. 执行C:/WINDOWS/system32/cmd.exe /c reg add "HKCU/Software/Microsoft/Internet Explorer/Main" /v "Start Page" /d "http://www.hao123.com.vc" /f

我们接下来再看看病毒在修改IE主页后又有哪些行为,mymonitor监控到病毒又执行了同样ping本机回环地址127.0.0.1还是50次,如图14所示。这里为什么又执行了ping的操作?估计应该是休眠延时,等待一会再执行后续的动作。

图14:执行ping操作

在成功执行ping操作后,mymonitor监控到病毒执行了自杀(删除病毒母体),同样还是隐藏命令行窗口方式“C:/WINDOWS/system32/cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:/Documents and Settings/Administrator/桌面/dndSet0.exe"”,如图15所示。

图15:病毒执行删除病毒母体操作

在执行完删除病毒母体后,mymonitor未再有任何创建新进程的提示,也没有联网动作,看来是病毒执行完了,我们可以重启一下电脑,查看一下是否还有其他病毒行为。重启电脑发现只是IE主页被修改,IE收藏夹被写入大量推广网站的url快捷方式,接下来讲解一下病毒手动处理。

病毒处理

这个病毒行为很少,处理起来也相对简单,我们直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的电脑修复工具,扫描出IE主页注册表权限异常,如图16所示。

图16:瑞星安全助手扫描出IE主页异常

勾选此项,点立即修复,如图17所示,修复成功。

图17:使用瑞星安全助手成功修复IE异常主页

接下来使用瑞星安全助手的IE主页保护功能锁定一下自己喜欢的主页,这里推荐hao.rising.cn,如图18、19所示。

图18:使用瑞星安全助手锁定主页

图19:锁定IE主页为http://hao.rising.cn

最终IE主页被修改成功如图20所示。

图20:IE主页锁定成功

接下来再手动删除病毒在收藏夹里添加的推广网站url快捷方式,如图21所示。

图21:删除ie收藏夹里网站推广url快捷方式

手动删除IE收藏夹网站推广url后,IE收藏夹变得清爽多了,如图22所示。

图22:成功修复IE收藏夹

>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2023 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();