rmnet感染型病毒分析.doc

一、样本信息 病毒名称：Trojan.Win32.Ramnit.efg 文件名称：1Srv.bin MD5：ff5e1f27193ce51eec318714ef038bef SHA1：b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6 二、关键行为 创建互斥 “KyUffThOkYwRRtgPP” 投放文件并且运行 “C:\Program Files\Microsoft\DesktopLayer.exe” 文件遍历方式感染全盘后缀为 “.exe”“.dll”“.htm”“.htm”的文件 写入Autorun.inf 自动播放 进行感染 注入浏览器iexplore.exe进程，使用Hook ZwWriteVirualMemory方式来进行写入内存改变EIP执行 劫持 winlogon 系统项的userinit来运行感染病毒母体 连接CC服务器为443端口，此为HTTPS 访问端口，用来躲避行为检测 连接CC服务器 发送窃取数据 样本运行流程 此感染病毒共有3层打包，每层使用UPX加壳。第一层包装主要内存解密出PE文件，替换自身当前模块内存。第二层主要判断自身路径是否为“C:\Program Files\Microsoft\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下，然后运行此程序。当判断本路径的是的话，则通过注册表取系统自身浏览器路径，内存解密出第三层模块DLL,通过Hook ZwWriteVirtualMemory注入到iexplore.exe进行执行。注入到iexplore.exe的DLL为此感染病毒核心代码，在入口处创建了6个线程，他们分别工作是 每隔一秒判断winlogon.exe的userinit是否启动的是感染母体 访问:80 网站来进行取当前时间,并且判断 取感染时间保存到 “dmlconf.dat” 连接CC服务器””，发送窃取的数据 遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件 主要遍历驱动器根目录写autorun.inf方式 进行感染 感染症状： 被感染的.exe 和.dll 程序自身后面都多了一个名为.rmnet的区段 且每次打开被感染的程序，当前目录会有 “母体名+Srv.exe”的程序 被感染的.htm和.html文件会被添加以下内容 被感染的autorun.inf会被写入以下内容 网络症状： 四、详细分析 0x1.第一层包装，主要内存解密出PE文件，替换自身当前模块内存 我们先用查壳工具看看，显示是UPX加壳，我们载入OD可以看到入口是典型的UPX入口特征 首先申请一个0xF000大小的空间，写入shellcode，这段shellcode进行再次进行申请内存，填充PE文件，替换自身当前模块内存。 0x2.第二层包装 我们来到第二层包装后，也为UPX压缩，主要判断自身路径是否为“C:\Program Files\Microsoft\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下，然后运行此程序。 运行DesktopLayer.exe后， 首先会通过查询注册表路径””取得系统浏览器路径， 在取得系统浏览器iexplore.exe路径后，首先Hook “ZwWriteVirtualMemory” 在调用CreateProcessA函数来启动进程，当调用此函数的时候，就会进入到Hook的处理程序里面来，因为CreateProcessA 是经过封装处理的,ZwWriteVirtualMemory是其CreateProcessA的内部函数。 这个hook处理程序首先会从自身内存中解密出一个PE文件，通过远程写内存函数写入到iexplore.exe进程当中，其中还会远程写入一段shellcode代码给iexplore.exe内存PE文件进行初始化操作，大致就是申请内存----对齐区段---初始化导入表--修复重定位-修复入口点等。 0x3.第三层核心代码 这层核心代码则为远程写入iexplore.exe的这段内存，实则为一个DLL文件 通过使用查壳工具可以看到这个DLL名为”rmnsoft.dll”的文件 这个DLL在入口一共创建了6个线程来进行工作，每个线程负责不同的恶意操作 1.每隔一秒判断winlogon.exe的userinit是否启动的是感染母体 2.访问:80 网站来进行取当前时间,并且判断 3.取感染时间保存到 “dmlconf.dat” 4.连接CC服务器””，发送窃取的数据 5.遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件 6.主要遍历驱动器根目录写autorun.inf方式 进行感染 入口首先会判断互斥”KyUffThOkYwRRtgPP” 是否存在，如