U盘_硬盘感染传播病毒分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2022-05-23

U盘_硬盘感染传播病毒分析报告目录病毒信息病毒概况病毒危害手工清除方法漏洞补丁信息应对措施及建议文件行为进程行为注册表行为网络行为详细分析报告样本溯源分析病毒信息病毒名称：GHO.exe。病毒家族：。病毒类型：。MD5：94861ECBC2FD8043FA5BD69D004CFE59。SHA1：0C9DEC73697F74A8657E538EEF8016A515E6CBC0。文件大小：PE EXE。文件类型：480 字节。传播途径：U盘、硬盘。专杀信息：暂无影响系统：。样本来源：互联网发现时间：入库时间：C2服务器：。病毒概况该样本VT上显示最早上传时间是2009年，是一个Delphi程序但是会释放一个VB程序，程序应该是中国人编写的程序中含有“中华人民共和国万岁”和“感动中国特别奉献”等字样。这个病毒会将C盘外所有文件夹隐藏，拷贝自身过去，并且将自身命名为源文件名称，还会删除（除C盘外）检测当前日期为1号、10号、21号、或29号的所有文件。还会利用各种途径让自己存活下来，包括将自己伪装成文件夹，使用双进程守护保护自身，创建注册表为服务，通过复制到硬盘或者U盘传播。病毒危害目前发现的主要危害就是：删除上述所说的指定日期文件，修改C盘外的磁盘的文件病毒文件伪装，并未对系统造成什么影响。file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps1.jpg手工清除方法1). 创建一个.bat文件输入taskkill /f /im nasm.exe换行taskkill /f /im mscb.exe执行。2). 手动删除cwindowsnasm.exe与mscb.exe、avb.exe、mydat2文件3). 删除注册表：[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "msfsa"="C:\windows\avb.exe"。[size=12.0000pt]4) . 删除C：windowssystem32javasc.exe。[size=12.0000pt]5) . 删除所有文件夹显示的可执行文件。漏洞补丁信息暂无应对措施及建议1). 建议用户保持良好的上网习惯，不要随意打开来路不明的文档。2). 及时更新系统及软件，保持系统和软件保持最新版本。3). 不要随意接收聊天工具上传送的文件及运行。4). 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。5). 安装专业的防毒软件升级到最新版本，并开启实时监控功能。6). 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。文件行为1). 创建文件，从自身资源释放mydat2文档。[size=; font-size: 12pt,12pt]2[size=; font-size: 12pt,12pt]). [size=; font-size: 12pt,12pt]删除指定日期文件[size=; font-size: 12pt,12pt]。进程行为1). 创建进程c:windowsjavasc.exe。2). 创建进程 c:windowsavb.exe。file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps2.jpg注册表行为1). 创建注册表：[HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesdongtian]。[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdongtian]。[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdongtianSecurity]。2). 设置注册表：[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyRNG]。[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]"CheckedValue"=dword:00000001"CheckedValue"=dword:00000000。[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "msfsa"="C:\windows\avb.exe"。3). 删除注册表值[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt] "CheckedValue"=dword:00000001file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps3.jpg 网络行为暂无详细分析报告1) . 利用IDA分析：主程序看似很简单在CreateForm创建了Form，然后通开机自启动avb.exe->Run（）进入消息循环：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps4.jpg [size=; font-size: 12pt,12pt]2) [size=; font-size: 12pt,12pt]. 程序开始调用paramstr函数获取自身的程序进程名,应该是比较了自身的程序名，如果是的话就进行下面复制自身的行为,将自身复制c:\windows下并且命名为sdafdf.exe,并且运行，调用Halto（）退出：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps5.jpgfile:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps6.jpg[size=; font-size: 12pt,12pt]3) [size=; font-size: 12pt,12pt]. 如果第一步判断否的话就会首先判断自己同名的文件夹是否存在,存在的话就会调用 shellExecuteA（）打开,无论存在与否都会执行C:\windows\avb.exe是否存在:file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps7.jpgfile:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps8.jpg[size=; font-size: 12pt,12pt]4). 存在就会执行sub_44F3A0，修改注册表:file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps9.jpg接下来创建拷贝自身C:\windows\system32\javasc.exe，并且将javasc.exe注册为服务：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps10.jpg修改注册表不显示隐藏文件，并且修改文件夹选项也没用，删除文件夹选项中的隐藏已知文件类型的扩展名选项，删除这个键：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps11.jpg再次修改注册表，将avb.exe加入注册表Run中，退出：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps12.jpgfile:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps13.jpg [size=; font-size: 12pt,12pt]5). 创建拷贝自身C：windowssystem32javasc.exe，并在sub_44E5CC中将javasc.exe注册为服务：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps14.jpg 比较进程名是不是C：windowsavb.exe，如果是则⑪，否则⑫；⑪　创建拷贝自身C：windowsmscb.exe，并执行，之后调用halt0()退出；⑫　比较是不是C：windowsmscb.exe，如果不是，则程序调用halt0()退出，如果是则CreateForm过程正常退出，程序继续运行，进行下面timer的响应过程。[size=; font-size: 12pt,12pt]6). 接下来会关闭计时器，读取资源，释放C:windowsnasm.exe，并且运行nasm.exe:file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps15.jpg Timer2：首先获取当前系统时间:file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps16.jpg然后在0x0044F2DE处，获取磁盘信息:file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps17.jpg比较文件时间如果是2009.03之前，就结束，并且判断是不是1.10.21.29号的病毒，如果是就会进行删除操作：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps18.jpg设置文件夹属性将其隐藏：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps19.jpg然后创建以文件夹名称的可执行文件，伪装成文件夹：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps20.jpg Timer3：修改注册表：file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps21.jpg在timer4中释放了nasm.exe，他与mscb.exea实现了双进程守护，两个进程彼此创建，结束其中一个都会被另一个再次创建。nasm.exe会遍历进程，看系统中是否存在heihu.exe程序，存在的话就会执行shutdown -f -s -t 10 -c heihu?error!关机file:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps22.jpgfile:///C:/Users/86155/AppData/Local/Temp/ksohtml14884/wps23.jpg [size=; font-size: 10.5pt,10.5pt] 样本溯源分析暂无结论：本次病毒分析，发现这个病毒会将C盘外所有文件夹隐藏，拷贝自身过去，并且将自身命名为源文件名称，还会删除（除C盘外）检测当前日期为1号、10号、21号、或29号的所有文件。还会利用各种途径让自己存活下来，包括将自己伪装成文件夹，使用双进程守护保护自身，创建注册表为服务，通过复制到硬盘或者U盘传播（这是对一位大佬的文章进行的复现）。

图片23.png (8.7 KB, 下载次数: 0)