教育学术网路系统安全保证及反骇客控制技术研发中心-ShareCourse.PDFVIP

教育學術網路系統安全保證及反駭客控制技術研發中心 惡意程式分析報告 Trojan.Downloader 撰寫者：許 峻榮 Tim800217@ 報告版本：v1 報告產出時間： 2014/01/20 一、 惡意程式簡介 1. 檔案類型? Trojan.Downloader 病毒的檔案大小為202KB ，是一個exe執行安裝 檔 。 圖一 病毒的icon 2. 為什麼要選擇他來分析? 使用者可能會在網路上下載一些軟體，如果不小心下載此看起來是安 裝檔的病毒，在執行後就會導致電腦登錄檔被竄改或是其他使用者預 期外的事件。 3. 各廠牌防毒軟體對它的稱呼 4. 它的MD5 Checksum 242D649E01E6C4D9A9BE7718F7BE12CC 二、 系統行為分析 一旦中了Trojan-Downloader ，該病毒會將資料夾和搜尋選項關閉， 這個行為會導致使用者無法藉由下圖的圖形介面方式進行資料夾選項的設 定，例如顯示隱藏的檔案或資料夾、顯示檔案副檔名...等(如圖 二) 。 除 了關閉使用者帳戶控制設 定(UAC)外，病毒也會 將開 機時預設 執行的 系統檔 案C:\Windows\explorer.exe(一般人所稱的 “桌面 ”關) 閉， 導致 使用者開 機進入Windows會看 到全黑的畫面，只留下一個資 料夾檔 案總管 (如圖 三) 。 圖二 資料夾和搜尋選項關閉 圖三 開機畫面 三、 網路行為分析 病毒一被執行後 ，透過 Wireshark可 以觀 察到一些可 疑的 網站連結，如下 圖 四的 “”、“”、“”。 除 了這些可 疑連結外，病毒還想下載 其中 一個連結中的 執行檔。 圖 四可疑連結及下載檔案 經過反覆重灌 VM跟執行 病毒，我們發現在執行病毒後都會有此三個可 疑連 結的連線。於是 我們 將這三個連結 IP放到Websitelooker 上檢查，前 兩個 的位址在 China ，第三個在利比亞。 其中只有第 二個連結 找的 到他的 網站資 料 ，如下圖 五所 示。 圖 五 6網站資料 在進一步調查後發現這個 domain已經 失效，我們透過瀏覽器 方式也 無法連 線，包含 其他 兩個可 疑連結也 一樣無法連線。 圖 六 6 Whois資料 所 以就算 真的讓使用者不小心執行此病毒，頂 多讓 系統的使用者帳戶設 定 被修改， 不會有進一步到網路上下載可 疑檔 案並安裝等行為。 四、 相關的 對策與Snort Rule 安裝防毒軟體 ，讓使用者在執行此病毒前就隔離此安裝檔，避免後續 病毒的行為發 生。 Snort部分可 以將找到的 那三個連結作為 rule ，在 多次安裝VM跟執行 病毒後可 以發現連線順序都是相同的，所 以可 以很確定的 阻隔掉此病毒的 網路連結，縱使那三個網站連結基本上不會有任何有害行為發 生。 針對病毒會 將explorer.exe關閉的解 法是 ，啟動 gpedit.msc(本機群 組原則編輯器)=使用者設 定=Windows設 定=指令碼 =登入，新增 一個名 稱 explorer ，參數C:\Windows\Explorer.exe ，此方式能夠使電腦在登 入 後再自動開啟 一次Explorer.exe ，顯 示出桌面