本文从技术层面,深入分析了当前正在流行的猫癣下载器。
一. 样本概述
1.1. 基本信息
样本文件名:gr.exe.v
MD5:7372C5538AD30691944A9386EA496E01
病毒名:Win32.Troj.DropRootKit.a.143360
病毒类别:下载者
1.2. 启动项列表
1.感染ctfmon.exe
2.在非系统盘每个文件夹中释放usp10.dll劫持系统dll
1.3. 释放文件列表
%windir%\jiocs.dll
%windir%\Tasks\1
%tmp%\1696
%sys32dir%\sadfasdf.jpg
%sys32dir%\ctfmon.exe
二. 样本行为
2.1 病毒母体EXE
2.1.1 获取当前进程的PID
若当前PID小于等于0x0a,退出进程。
2.1.2 判断创建互斥体
创建互斥变量为"puuyt",若此互斥变量存在,则退出进程。
2.1.3 解密自己数据段释放驱动文件
解密自己数据段数据释放到%TEMP%目录下,命名为"1696"。
2.1.4 解密进程名,结束对应进程
解密得到以下安全软件进程名称
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
并调用TerminateProcess将其结束。
2.1.5 添加对迅雷的映像劫持
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
使迅雷无法启动。
2.1.6 释放dll并调用
解密数据段数据,写入%windir%\jiocs.dll文件,并用rundll32.exe加载jiocs.dll导出函数"EnumPageFile"。
获取"safeboxTray.exe"文件路径,将解密数据段数据写入"safeboxTray.exe"目录下的psapi.dll(和jiocs.dll相同)。
2.1.7 调用360保险箱卸载参数
遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
删除psapi.dll文件。
2.1.8 修改注册表关闭360监控
HKLM\SOFTWARE\360Safe\safemon
"MonAccess" REG_DWORD 0
"SiteAccess" REG_DWORD 0
"ExecAccess" REG_DWORD 0
"ARPAccess" REG_DWORD 0
"weeken" REG_DWORD 0
"IEProtAccess" REG_DWORD 0
"LeakShowed" REG_DWORD 0
"UDiskAccess" REG_DWORD 0
使360实时监控失效。
2.1.9 解密数据释放文件"1"
解密数据段数据,释放文件%windir%\tasks\1(就是伪usp10.dll)。
2.1.10 创建线程拷贝伪usp10.dll
遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。
2.1.11 创建线程关闭窗口和更改显示隐藏文件
若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。
修改以下注册表键值,来不显示隐藏文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 0
2.1.12 创建线程来关闭cmd.exe
枚举当前进程,发现有cmd.exe进程则调用TerminateProcess将其结束。
2.1.13 创建线程来下载盗号器并将其运行
解密数据段,释放随机名文件a.dll到%TEMP%目录下。解密网址 hxxp://txt.naiws.com/oo.txt,下载oo.txt保存在%sys32dir%\sadfasdf.jpg,读取里面小马网址,并调用a.dll的导出函数Winext来运行小马。
2.1.14 发送本机信息
获取本机MAC地址,下载器的版本号,发送到"hxxp://tongji.ombb888.cn/select/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=400641"
2.1.15 获取本机是否装QQ,并发送信息
遍历进程发现qq.exe则发送
"hxxp://tongji1.ac5566.cn/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=IQQS"
2.1.16 下载替换HOSTS文件
下载hxxp://txt.naiws.com/ad.jpg,保存到%sys32dir%\drivers\ect\hosts文件
2.1.17 下载母体自更新
解密"hxxp://www.hoho-3.cn/gr.exe"下载并运行。
2.1.18 创建开启服务提升权限
创建服务HKLM\SYSTEM\CurrentControlSet\Services\Kisstusb,提升为SeDebugPrivilege权限,开启服务加载开始释放驱动文件1696,成功加载后删除服务和文件。
2.1.19 调用控制码替换系统文件
建立\\\\.\\Delkil,通过DeviceIoControl调用2228252,替换系统文件ctfmon.exe。
2.2Jiocs.dll和psapi.dll
2.2.1 导出函数DllEntryPoint
Hook MessageBoxW,使调用MessageBoxW的程序加载此dll。
导出函数EnumPageFile
2.2.2 创建互斥变量
创建互斥变量"xxvv",若存在,则退出,不存在创建线程。
2.2.3 关闭进程
解密得到以下安全软件进程名称
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
并调用TerminateProcess将其结束。
2.2.4 添加对迅雷的映像劫持
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
使迅雷无法启动。
2.3文件1和usp10.dll
创建线程下载病毒母体,将母体
"hxxp://www.hoho-1.cn/down/gr.exe"
"hxxp://www.hoho-2.cn/down/gr.exe"
"hxxp://d.bc-s350.cn/down/gr.exe"
"hxxp://www.hoho-3.cn/gr.exe"
下载到%tmp%目录下的一个随机名字,然后调用WinExec来运行。
Usp10.dll和psapi.dll导出真实的Usp10.dll和psapi.dll的导出函数,获取真实的导出函数地址,然后跳到真实地址。
2.4随机名a.dll
导出函数Winext
通过调用WinExec来运行程序。
2.5文件1696
修改系统ctfmon.exe
用天空软件园的瑞星杀毒软件吧(免费3个月)
保证适用!
安装微点主动防御软件就可以解决了
1)全盘格式化,再重装系统,就能彻底解决问题.
2)开机按F8进安全模式,杀毒,或用光盘进PE,用360,NOD32,清理助手,查杀毒
3),如果有资料,就把资料复制到别的盘.再装系统,装好后千万不要打开别的盘或文件(夹),马上用360安全卫士查杀木马和恶意软件,再用NOD32查病毒,再用清理助手查下,记得要升级到最新,这几个软件效果都不错,关键是占用资源少,别的不用装了,像卡巴,一定卡死你;如果上面的不行,你再装别的也不会有什么好的效果
该病毒在你的注册表中建立了自己的键值项目与分支 ,你即使怎样使用查杀软件也不可能删除的 。 建议 : 在 “ 任务管理器 ”中先停止其的运行 , 然后进入到注册表通过编辑-查找对该病毒隐藏在注册表中的键值项与分支进行删除 。再通过系统的搜索来查找出该病毒在系统中文件夹进行仔细辨认 , 最后删除 。
用微点啊
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024