庖丁解毒之中华吸血鬼分析.docVIP

庖丁解毒之中华吸血鬼分析 dragonltx “中华吸血鬼”是个蠕虫病毒，病毒通过U盘、局域网弱密码猜解、网页挂马、dll劫持等方式传播。该病毒会在％systemroot％／Tasks／中释放多个病毒文件，通过修改注册表键值实现开机自动启动，为了躲避杀毒软件查杀，该病毒还会关闭破坏多种主流杀毒软件和安全工具，并且会屏蔽常见安全网站。病毒会每隔360000ms下载一次新病毒到本地运行，达到其不断更新的目的，还会删除Windows目录中help下的所有文件，电脑一旦感染此病毒，可能会给系统带来很大安全威胁。带着学习和过招的态度，我找到了吸血鬼2.1病毒样本，并对它进行“庖丁解毒”探个究竟。 首先用PEiD对病毒样本unpacked.exe查壳，发现该病毒没有加壳，如图1所示： 图1 用OD载入，单步执行，直到oep处， 00405FF8 |. E8 23CEFFFF call 00402E20 按F7跟进，进入病毒程序的初始化代码，病毒首先创建一个名称为“中华吸血鬼2.1”的互斥量， 00402E20 $ 53 push ebx 00402E21 . 56 push esi 00402E22 57 push edi 00402E23 . 68 141F4000 push 00401F14 ；中华吸血鬼2.1 00402E28 . 33F6 xor esi, esi 00402E2A 6A 01 push 1 ; |InitialOwner = TRUE 00402E2C . 56 push esi ; |pSecurity 00402E2D . FF15 call dword ptr [KERNEL32.CreateMute; \CreateMutexA 然后病毒调用RegDeleteKeyA函数删除注册表键SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}，如下： 00402E4F \55 push ebp 00402E50 . 68 A81E4000 push 00401EA8 ; /Subkey = SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 00402E55 . 68 push ; |hKey = HKEY_CURRENT_USER 00402E5A . FF15call dword ptr [ADVAPI32.RegDeleteK; \RegDeleteKeyA 接下来病毒开始露出它最恶毒的面目，创建15个线程来完成各种恶意破坏，是本篇文章的核心部分，下面就一个线程一个线程来分析病毒所使用的“十八般武艺”。 线程一 创建一个进程快照： . BE F01F4000 mov esi, 00401FF0 ; ASCII 360tray.exe . 8D7D E0 lea edi, dword ptr [ebp-20] . 8945 F4 mov dword ptr [ebp-C], eax 0040329B . A1 mov eax, dword ptr [402000] 004032A0 . 6A 00 push 0 ; /ProcessID = 0 004032A2 . A5