rmnet感染型病毒分析汇总.docx
《rmnet感染型病毒分析汇总.docx》由会员分享,可在线阅读,更多相关《rmnet感染型病毒分析汇总.docx(14页珍藏版)》请在冰点文库上搜索。
rmnet感染型病毒分析汇总
一、样本信息
病毒名称:
Trojan.Win32.Ramnit.efg
文件名称:
1Srv.bin
MD5:
ff5e1f27193ce51eec318714ef038bef
SHA1:
b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6
二、关键行为
创建互斥“KyUffThOkYwRRtgPP”
投放文件并且运行“C:
\ProgramFiles\Microsoft\DesktopLayer.exe”
文件遍历方式感染全盘后缀为“.exe”“.dll”“.htm”“.htm”的文件
写入Autorun.inf自动播放进行感染
注入浏览器iexplore.exe进程,使用HookZwWriteVirualMemory方式来进行写入内存改变EIP执行
劫持winlogon系统项的userinit来运行感染病毒母体
连接C&C服务器为443端口,此为HTTPS访问端口,用来躲避行为检测
连接C&C服务器fget-发送窃取数据
3、样本运行流程
此感染病毒共有3层打包,每层使用UPX加壳。
第一层包装主要内存解密出PE文件,替换自身当前模块内存。
第二层主要判断自身路径是否为“C:
\ProgramFiles\Microsoft\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下,然后运行此程序。
当判断本路径的是的话,则通过注册表取系统自身浏览器路径,内存解密出第三层模块DLL,通过HookZwWriteVirtualMemory注入到iexplore.exe进行执行。
注入到iexplore.exe的DLL为此感染病毒核心代码,在入口处创建了6个线程,他们分别工作是
1.每隔一秒判断winlogon.exe的userinit是否启动的是感染母体
2.访问:
80网站来进行取当前时间,并且判断
3.取感染时间保存到“dmlconf.dat”
4.连接C&C服务器”fget-”,发送窃取的数据
5.遍历全盘文件进行感染,主要感染类型.exe.dll.htm.html文件
6.主要遍历驱动器根目录写autorun.inf方式进行感染
感染症状:
被感染的.exe和.dll程序自身后面都多了一个名为.rmnet的区段
且每次打开被感染的程序,当前目录会有“母体名+Srv.exe”的程序
被感染的.htm和.html文件会被添加以下内容
被感染的autorun.inf会被写入以下内容
网络症状:
四、详细分析
0x1.第一层包装,主要内存解密出PE文件,替换自身当前模块内存
我们先用查壳工具看看,显示是UPX加壳,我们载入OD可以看到入口是典型的UPX入口特征
首先申请一个0xF000大小的空间,写入shellcode,这段shellcode进行再次进行申请内存,填充PE文件,替换自身当前模块内存。
0x2.第二层包装
我们来到第二层包装后,也为UPX压缩,主要判断自身路径是否为“C:
\ProgramFiles\Microsoft\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下,然后运行此程序。
运行DesktopLayer.exe后,
首先会通过查询注册表路径””取得系统浏览器路径,
在取得系统浏览器iexplore.exe路径后,首先Hook“ZwWriteVirtualMemory”
在调用CreateProcessA函数来启动进程,当调用此函数的时候,就会进入到Hook的处理程序里面来,因为CreateProcessA是经过封装处理的,ZwWriteVirtualMemory是其CreateProcessA的内部函数。
这个hook处理程序首先会从自身内存中解密出一个PE文件,通过远程写内存函数写入到iexplore.exe进程当中,其中还会远程写入一段shellcode代码给iexplore.exe内存PE文件进行初始化操作,大致就是申请内存----对齐区段---初始化导入表--修复重定位-修复入口点等。
0x3.第三层核心代码
这层核心代码则为远程写入iexplore.exe的这段内存,实则为一个DLL文件
通过使用查壳工具可以看到这个DLL名为”rmnsoft.dll”的文件
这个DLL在入口一共创建了6个线程来进行工作,每个线程负责不同的恶意操作
1.每隔一秒判断winlogon.exe的userinit是否启动的是感染母体
2.访问:
80网站来进行取当前时间,并且判断
3.取感染时间保存到“dmlconf.dat”
4.连接C&C服务器”fget-”,发送窃取的数据
5.遍历全盘文件进行感染,主要感染类型.exe.dll.htm.html文件
6.主要遍历驱动器根目录写autorun.inf方式进行感染
入口首先会判断互斥”KyUffThOkYwRRtgPP”是否存在,如果存在则直接退出程序。
接着就是创建线程操作了
0x1.线程一(劫持winlogon.exe注册表项来启动感染母体)
通过分析我们可以知道,此线程主要通过注册表查询winlogon目录的userinit的来判断自身母体是否被能被开机运行,这种劫持方法,在开机启动项里面是查不到的.
并且每隔1秒查询一次,无限循环。
0x2.线程二(通过访问:
80来获取时间)如果访问失败,则还会进行以下几个网站来获取
0x3.线程三(取感染时间保存到文件”dmlconf.dat”)
通过SystemTimeAsFileTime函数取得感染时间
写入到文件”dmlconf.dat”
0x4.线程四(发送窃取数据线程)
首先会取计算机一些相关信息
接着会解密出一个名为”fget-”的域名地址,且端口为443端口,为了躲避安全软件而伪装成HTTPS协议
接着进行数据组合
20406F46000121F800000A28000000050000000186
20406F46分区序列号
000121F8分区序列号
00000A28系统build版本
00000005主版本号
00000001次版本号
86国家代码
接着进行MD5加密字符串,发送给C&C服务器fget-443端口
数据包首次使用固定ff00?
?
000000进行对C&C服务器的握手连接
在进行把20406F46000121F800000A28000000050000000186和组合的MD5字符串发送给C&C服务器
0x5.线程五(感染全盘文件.exe.dll.htm.html)
我们可以看到,此感染文件线程每隔30秒感染一次
首先排除感染目录
接下来就是全盘搜索文件进行感染,我们可以看到此感染母体搜索“*.*”全部文件。
当搜索到以下文件类型时候进行感染
感染.exe和.dll文件时候,首先会读取文件区段.如果比较最后一个区段为.rmnet的话,则会停止操作,防止被重复感染.
进行感染操作使用文件映射方式把文件加载到内存,在进行添加区段.rmnet,此区段包括感染母体。
感染.htm.html文件是否判断结尾是否为,如果为这个字符串则不会感染
被感染的htm和html文件则会被添加以下内容
至此,感染线程操作分析完毕。
0x6.线程六(感染驱动器自动播放文件autorun.inf)
首先会遍历所有驱动器路径,挨个进行判断,感染。
我们可以很清楚的看到首先遍历所有驱动器路径。
然后删选出“可移动磁盘”和没有没感染的磁盘来进行感染。
相当可怕/!
针对可移动磁盘
并且读取每个可移动磁盘的autorun.inf文件,判断结尾是否是”RmN”,如果是则已经是被感染过的。
感染autorun.inf文件内容,可以看出是一个自动运行感染母体的代码。
并且在尾巴添加RmN防止重复操作。
至此,此感染样本全部分析完毕。
解决方案:
通过分析我们知道,为了防止重复感染,此样本会存在一个互斥实例,名为:
“KyUffThOkYwRRtgPP”。
我们首先遍历每个进程的句柄表,来看看哪个进程创建了这个互斥。
创建此互斥的进程一定是现在正在进行感染文件的进程,我们先结束掉这个进程,然后自己创建这个互斥,这个时候病毒的感染操作就已经算被终止。
接下来就是全盘搜索被感染的文件来进行修复了。
恢复原始入口点,删除.rmnet感染节区,修复文件校验和。
升级会员 