恶意代码分析实例

恶意代码实例分析2011年5月目录1虚拟环境及所用软件介绍 11.1虚拟环境介绍 1 11.1.2GostXPSP3装机版YN9.9 11.2检查软件介绍 1 11.2.2Regmon7.04汉化版 11.2.3FileMon7.04汉化版 11.2.4TCPView3.04 21.2.5procexp.exe 21.2.6IceSword1.22中文版 22木马冰河分析与检测 32.1木马冰河V2.2介绍 32.2样本分析 32.2.1进程监测 32.2.2文件监测 32.2.3注册表监测 4系统通信端口监测 42.3样本外部特征总结 52.4木马去除方法 53xueranwyt.exe木马分析与监测 63.1木马xueranwyt.exe介绍 63.2样本分析 6进程监测 63.2.2文件监测 63.2.3注册表监控 73.2.4端口监测 73.3样本外部特征总结 73.4解决方案 842.exe木马分析与监测 94.1木马样本2.exe介绍 94.2样本分析 94.2.1进程监控 94.2.2文件监控 94.2.3注册表监控 104.2.4端口检测 104.3样本外部特征总结 114.4解决方案 115红蜘蛛样本分析与检测 125.1样本介绍 125.2样本分析 125.2.1进程检测 125.2.2文件检测 125.2.3注册表监控 135.2.4端口监控 135.3样本外部特征总结 135.4解决方案 13样本分析 146.1样本介绍 146.2样本分析 146.2.1进程监控 146.2.2文件监控 146.2.3注册表监控 156.2.4端口监控 156.3样本特征总结 156.4解决方案 16样本监测与分析 177.1样本简介 177.2样本分析 177.2.1进程监控 177.2.2文件监控 177.2.3注册表监控 187.2.4端口监控 187.3样本外部特征总结 187.4解决方案 198027gangsir.CN.exe样本监测与分析 208.1样本信息介绍 208.2样本分析 208.2.1进程监控 208.2.2文件监控 208.2.3注册表监控 208.2.4端口监控 218.3样本外部特征总结 218.4解决方案 229050gangsir.CN.exe样本分析与监测 239.1样本简介 239.2样本分析 239.2.1进程监控 239.2.2文件监控 239.2.3注册表监控 249.2.4端口监控 249.3样本外部特征总结 249.4解决方案 2410 2510.1样本简介 2510.2样本分析 2510.2.1进程监控 2510.2.2文件监控 2510.2.3注册表监控 2610.2.4端口监控 2610.3样本外部特征总结 2610.4解决方案 2711NetThief12.9样本分析与检测 2811.1样本简介 2811.2样本分析 2811.2.1进程监控 2811.2.2文件监控 2811.2.3注册表监控 2811.2.4端口监控 2911.3样本外部特征总结 2911.4解决方案 291虚拟环境及所用软件介绍1.1虚拟环境介绍。1.1.2GostXPSP3装机版YN9.9所用操作系统为WindowsXPSP3，并打了微软发布的补丁。其他的Windows环境哪?Vista，Windows7、Windows2008？1.2检查软件介绍1.2.1ATool是安天实验室开发的一款平安管理工具集，包含了多款实用的系统工具，能够实现用户对系统的平安管理，同时针对系统中的木马、后门、黑客工具等恶意程序进行检测并辅助用户进行处理。ATool专门提供了分析模块，能够实现基于条件加权的未知木马检测体制，对系统中端口、进程、效劳、启动项、插件等内容进行严格的行为判断和特征分析，形成对每个文件的受信状态判定。给出公司或〔和〕软件下载的URLRegmon7.04汉化版Regmon是一款出色的注册表数据监视软件，它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考，并允许用户对记录的信息进行保存、过滤、查找等处理。给出公司或〔和〕软件下载的URLFileMon7.04汉化版Filemon是一款出色的文件系统监视软件，它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作〔如读取、修改、出错信息等〕全部记录下来以供用户参考，并允许用户对记录的信息进行保存、过滤、查找等处理。给出公司或〔和〕软件下载的URLTCPView3.04TCPView是查看端口和线程的。只要木马在内存中运行，一定会翻开某个端口，只要黑客进入你的电脑，就有新的线程。给出公司或〔和〕软件下载的URLprocexp.exe一个进程查看器，能看到进程里面的DLL等信息。可以对进程插入的木马进行查找。给出公司或〔和〕软件下载的URLIceSword1.22中文版冰刃内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。IceSword使用了大量新颖的内核技术,使得这些后门躲无所躲。给出公司或〔和〕软件下载的URL更多的监控软件：//和石云峰一起列齐，主要的监控分析工具，并下载、打包、刻盘进程、内核、驱动、效劳、启动项等监控，以及动态、静态的分析软件和工具，再补充完整。2木马冰河分析与检测2.1木马冰河V2.2介绍冰河开发的最初源因是为了开发一个功能强大的远程控制软件。但一经推出就成了黑客们的入侵工具。2006年以前冰河一直是国内不动摇的领军木马。功能有自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、远程文件操作等……//首先要说明木马、恶意代码的样本情况〔文件包〕以下同//需要介绍、展示木马安装运行后，Client和Server端的运行界面、功能和危险/破坏情况。//其他的恶意代码〔病毒等〕，也要写清楚以上的根本信息，如：病毒的发作条件和破坏情况2.2样本分析进程监测从Procexp软件可以明显的看到，有一个KERNEL32.EXE进程〔//能否进一步确定该进程调用的模块，进一步找准木马程序〕。这个明显是假装系统进程的木马进程，CPU使用率到达了99%！如图1：图1创立木马进程KERNEL32.EXE文件监测用Filemon监测到，样本先在c:\Windows\system32目录创立了一个KERNEL32.EXE文件，并往其中写入了大量与自身运行有关的数据。如图2：图2创立文件KERNEL32.EXE然后又在C:\Windows\system32目录下创立一个名SYSEXPLR.EXE的文件，随后又把查看了电脑文件目录信并把它们写入这两个文件。如图3：图3创立文件SYSEXPLR.EXE注册表监测从Regmon我们可以看出，木马把KERNEL32.EXE注册成了效劳。并把KERNEL32.EXE注册为开机启动。HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(DefaultSUCCESS "C:\WINDOWS\system32\KERNEL32.EXE" 。如图4所示：图4填加效劳另外，木马还修改了.TXT文件的关联，sysexplr.exe和TXT文件关联。即使删除了Kernel32.exe，但只要你翻开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了。〔文件关联，没有写入汇总表中，数据库建立是否不够全面？〕

2.2.4系统通信端口监测通过TCPView监测KERNEL32.EXE开启了TCP7626端口。如图5所示：图5开启端口76262.3样本外部特征总结文件特征：创立文件文件路径文件类型KERNEL32.EXEC:\Windows\system32只读SYSEXPLR.EXEC:\Windows\system32只读注册表特征：路径键名文件类型HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\DefaultC:\WINDOWS\system32\KERNEL32.EXEHKLM\Software\Microsoft\Windows\CurrentVersion\Run\DefaultC:\WINDOWS\system32\KERNEL32.EXE进程特征：进程名KERNEL32.EXE开启端口：端口类型端口号TCP76262.4木马去除方法1、删除C:Windows\system下的Kernel32.exe和Sysexplr.exe文件。2、删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun下键值为C:/windows/system/Kernel32.exe。删除注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下键值为C:/windows/system/Kernel32.exe。3、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command 下的默认值，由中木马后的C:/windows/system/Sysexplr.exe%1改为 正常情况下的C:/windows/notepad.exe%1，即可恢复TXT文件关联功能。3xueranwyt.exe木马分析与监测3.1木马xueranwyt.exe介绍xueranwyt.exe并没有在主机中释放文件，只修改了IE的一些设置。//需要说明木马、恶意代码的样本情况3.2样本分析进程监测当运行样本〔什么样本？〕后，发现样本开启xueranwyt.exe进程，并翻开了IEXPLORE.EXE进程。可能是应用IE内核〔用工具进一步分析，调用的模块等精确信息〕做一操作。如图6所示：图6开启进程xueranwyt.exe文件监测样本先创立了一个临时文件，并把自己先放入这个临时文件中。如图7所示：图7临时文件1900然后又创立了一个名为9的任务。如下列图8所示：图8新建任务9该样本并没有释放任何文件只要有一些临时文件，还有扫描了整个电脑所有的文件夹〔有何目的？〕。注册表监控样本先更改了计算机的文件设置，设置了自动隐藏可属性为Hide的文件。如图9所示：图9修改文件属性样本接下来修改了大量的IE信息，更改了IE的缓存目录。并把IE的一些特征再刚刚释放的临时文件相关联。如图10所示：图10修改IE信息端口监测从监测工具上可以看到样本打了UDP端口1251。如图11所示：图11开启端口12513.3样本外部特征总结//以上分析的特征信息都能放到数据库中吗？都总结了吗？文件特征：创立文件文件路径文件类型9C:\Windows\tasks\任务Puefdo.dllC:\Windows\System32\只读进程特征：进程名xueranwyt.exe开启端口：端口类型端口号UDP12153.4解决方案关闭进程xueranwyt.exe和所有翻开的iexplorer.exe进程。删除C:\Windows\tasks\9，跟C:\Windows\System32\puefdo.dll。同时关闭UDP端口1215。42.exe木马分析与监测4.1木马样本2.exe介绍这是一个基于远程控制的木马，从监测软件可以看到远程控制的IP地址为33。他开启了2.exe做为通信进程。4.2样本分析进程监控从Procexp软件可以明显的看到，有一个2.EXE进程。这个就是木马样开启的进程。如图12所示：图12开启进程2.exe文件监控样本先把自身全部信息都拷到Temp目录下，生所一个2.exe。如图13所示：图12临时文件2.exe样本随后又创立了一个fbagent.job任务在C:\WINDOWS\Tasks目录下面。如下列图13所示：图13新建任务fbagent.job样本又在目录C:\DocumentsandSettings\AdministraTor\ApplocationData创立了一个dod.exe。他又修注册表把一个键值指向这个目录。如下列图14所示：图14新建文件dod.exe注册表监控样本先在HKCU\Software\Microsoft\VisualBasic\下创立一个6.0键，但是没有键值。如下列图15：图15新建6.0键样本先在C:\DocumentsandSettings\AdministraTor\ApplocationData下创立了一个dod.exe。现在又填加了一个建值指向了这个目录。如下列图16所示：图16AppData指向dod.exe样本又创立了两个键，分别是facebook和twitter。这两个的值为空，可能是样本做的一些广告推广。如图17所示：图17端口检测从监控软件里可以清楚的看到2.exe进程开启了TCP类型1406号端口。远程主机开启了80端口做为接收端口。如下列图18所示：图18开启端口14064.3样本外部特征总结文件特征：创立文件文件路径文件类型fbagent.jobC:\WINDOWS\Tasks只读dod.exeC:\DocumentsandSettings\AdministraTor\ApplocationData只读注册表特征：路径键名文件类型HKLM\Software\Microsoft\CurrentVersion\Explorer\ShellFoldersAppDataC:\DocumentsandSettings\AdministraTor\ApplocationData进程特征：进程名2.exe开启端口：端口类型端口号TCP14064.4解决方案关闭2.exe进程，删除C:\WINDOWS\Tasks\fbagent.job和C:\DocumentsandSettings\AdministraTor\ApplocationData\dod.exe。并删掉注册表HKLM\Software\Microsoft\CurrentVersion\Explorer\ShellFolders\AppData。5红蜘蛛样本分析与检测5.1样本介绍该样一但感染会在System32下生成两个文件，RedSpider.dll和RedSpider.exe。并使用进程隐藏技术。5.2样本分析进程检测该样本没有填加任何进程，但使用了进程隐藏技术，在Explorer.exe下插入了RedSpider.dll。如下列图19所示：图19插入redspider.dll文件检测木马在系统目录“%systemroot%”创立可执行文件redspider.exe和动态链接文件redspider.dll，在系统分区创立临时文件inflesible.wav。如图20所示：图20创立临时文件inflesible.wav图21创立文件redspider.dll和redspider.exe注册表监控木马将创立的redspider.exe文件设为开机启动〔在注册表HKLM\Run下〕。如图22所示：图22开机启动端口监控从TCPView中可以看到样本没有开启任何端口。5.3样本外部特征总结文件特征：创立文件文件路径文件类型redspider.exeC:\WINDOWS\system32只读redspider.dllC:\WINDOWS\system32只读注册表特征：路径键名文件类型HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentWersion\RunRedSpiderC:\WINDOWS\system32\redspider.exe进程特征：进程名插入IDexplorer.exeredspider.dll5.4解决方案删除C:\WINDOWS\system32下redspider.dll和redspider.exe两个文件；删除KEEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentWersion\Run下的Redspider.exe的开机启动项。6031gangsir.ch.exe样本分析6.1样本介绍当运行样本后，然后就弹出一个网页，但是浏览器已经变了。无论你翻开的是不是IE但浏览器都变成了世界之窗！6.2样本分析进程监控由进程软件可以看出，样本没有新建进程。031gangsir.ch.exe运行了几秒钟之后就消失了。文件监控样本先修改了shell32.dll系统文件。如图23所示：图23修改文件shell32.dll样本又修改了本机中的历史文件目录。如图24所示：图24修改历史文件目录样本修改了IE浏览器，使每次你翻开IE时找开的也是它指定的浏览器。如图25所示：图25样本还设置了浏览器的Cookies目录。如图26所示：图26注册表监控样本先新建了一个InternetSettings键。如图27所示：图27样本通过修改注册表，修改了网页的翻开方式，使每次翻开网页都能用它指定的浏览器。即使你双击的是IE浏览器。如图28所示：图28创立一个新键，A8844，并添加了子键fhdbfhmdih。如图29所示：图29端口监控从监控软件中可以看出，样本没有翻开任何端口。6.3样本特征总结注册表特征：路径键名文件类型HKCU\Software\A8844\fhdbfhmdih<<<<6.4解决方案删除世界之窗浏览器，修复shell32.dll文件。并修注册表更改网页的翻开方式，删除HKCU\Software\A8844\和其下面的子键。7样本监测与分析7.1样本简介用了大半天的时间来分析这个样。这个样本真的很牛，用了很多工具也用了很多时间，但得到的信息还是很少。这个是驱动级的样本。7.2样本分析进程监控屡次运行这个样本，但他生成的进程都不一样。不过不是Gkumia.exe就是Gkumib.exe。如下列图所示，这可能就是病毒的高明之处。如图30，31所示：图30图31文件监控样本先在C:\WINDOWS\目录下创立一个Gkumia.exe文件或Gkumib.exe文件。如图32所示：图32文件件在添加了一个新的任务C:\WINDOWS\Tadks\目录下，任务名为{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job。如图33图33样本还修改了IE的一些设置，包括IE的缓存和临时文件。如图34所示：图34之后样本又往IECookies写入了一些Cookies。如图35所示：图35注册表监控注册表只见到样本填加了一个Parameters如下列图。如图36所示：图36端口监控样本在刚开始运的时候翻开了很多的端口，但每次运行样本的时候样本翻开的端口都不一样，这可能不是一个时时通信的样本，所以没法记录翻开端口。7.3样本外部特征总结文件特征：创立文件文件路径文件类型Gkumia.exeC:\WINDOWS\只读Gkumib.exeC:\WINDOWS\只读{35DC3473-A719-4d14-B7C1-FD326CA84A0CC:\WINDOWS\Tadks\隐藏进程特征：进程名Gkumia.exeGkumib.exe7.4解决方案关闭Gkumia.exe或Gkumib.exe进程，去除IE缓存，删除{35DC3473-A719-4d14-B7C1-FD326CA84A0C8027gangsir.CN.exe样本监测与分析8.1样本信息介绍此样本新建了一个文件仿造MSN的进程名，然后大量的修改了注册表信息，也释放了很多垃圾。8.2样本分析进程监控样本先把自己复制到C:\WINDOWS\目录下，仿造MSN的进程名命名了一个文件。然后启动该进程。如图37所示：图37文件监控样本启动后把自己复制到C:\WINDOWS\目录下，仿造MSN的进程名命名为msnmsgr.exe。如图38所示：图38注册表监控本样先在HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\下创立一个新键SAhAeAIAIA值指向了它在C盘生成的那个文件C:\WINDOWS\msnmsgr.exe如图39所示：图39样本又在HKCU\Software\Microsoft\CurrentVersion\Explorer\MountPoints2\下生成了很多键，值均为Drive。如图40所示：图40样本又在HKCU\Software\Microsoft\CurrentVersion\Explorer\SessionInfo\创立了000000000000e11b。如图41所示：图41最后样本又在HKCU\Software\Microsoft\CurrentVersion\ShellExtensions\Cached下创立了两个值。如图42所示：图42端口监控样本没有翻开固定端口，每次运行时翻开的端口都不一样。所以端口无法纳入特征库。8.3样本外部特征总结文件特征：创立文件文件路径文件类型msnmsgr.exeC:\WINDOWS\只读注册表特征：路径键名文件类型HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\SAhAeAIAIAC:\WINDOWS\msnmsgr.exeHKCU\Software\Microsoft\CurrentVersion\Explorer\MountPoints2\{7af1fb0c-3808-11e0-abf1-806d6172696f}BaseClassDriveHKCU\Software\Microsoft\CurrentVersion\Explorer\MountPoints2\{7af1fb0c-3808-11e0-abf1-ca296d9051f8}BaseClassDrive进程特征：进程名msnmsgr.exe8.4解决方案首先结束进程msnmsgr.exe，后删除C:\WINDOWS\msnmsgr.exe。后再删除注册表HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\SAhAeAIAIA，HKCU\Software\Microsoft\CurrentVersion\Explorer\MountPoints2\{7af1fb0c-3808-11e0-abf1-806d6172696f}，HKCU\Software\Microsoft\CurrentVersion\Explorer\MountPoints2\{7af1fb0c-3808-11e0-abf1-ca296d9051f8}9050gangsir.CN.exe样本分析与监测9.1样本简介该样本在临时文件夹中释放一个名为1.exe的文件，然后把自身拷过去进行操作。修改了IE的一些属性。9.2样本分析进程监控从监控软件中可以看出样本生成1.exe进程，可是又很快退出。文件监控样本在临时文件夹中创立立了一个1.exe文件，然后又把自身拷到这个文件中。又用这个文件新建一个进程，不过又很快退出。如图43所示：图43样本在C:\DocumentsandSettings\Administrator\ApplicationData\目录下释放xmge.exe文件。如图44所示：图44样本又新建了一个任务，在C:\WINDOWS\Tasks\目录下，任务名为systems.job。如图45所示：图45注册表监控样本修改了IECookies的目录，修改为C:\DocumentsandSettings\Administratir\Cookies。如图46所示：图46样本又修改HKCU\Software\Micosoft\Windows\CurrentVersion\Explorer\ShellFolders\AppData为C:\DocumentsandSettings\Administator\ApplicationData。如图47所示：图47端口监控样本没有翻开端口。9.3样本外部特征总结文件特征：创立文件文件路径文件类型xmge.exeC:\DocumentsandSettings\Administrator\ApplicationData\只读systems.jobC:\WINDOWS\Tasks\只读9.4解决方案删除C:\DocumentsandSettings\Administrator\ApplicationData\xmge.exe和C:\WINDOWS\Tasks\systems.job。然后去除IE缓存修复IE，请除临时文件夹里的所有文件。1010.1样本简介跟前面分析过的一个有点小像，这又是个用IE来做怪的家伙。先是在kernull32.exe插入了一点东西，又在电脑中写了一些IE缓存，又修改了IE的一些设置。10.2样本分析进程监控样本运行后，开启了rundll32.exe进程，虽然这个文件是系统文件，但是已经被代码样本感染，如果删除会影响系统的运行。如下列图48所示：图48文件监控样本开启的进程修改了浏览器的临时文件夹。如图49所示：图49样本又在浏览器的历史文件夹中释放了文件。如图50所示：图50样本在电脑中IECookies中释放index.dat在目录C:\Documentsandsettings\Cookies\中。如图51所示：图51注册表监控样本修注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsNetDLL的值为rundll32.exe"C:\DocumentsandSettings\Administrator\Microsoft\WindowsNetDll.dll",Launch。如下