一個DDOS木馬後門病毒的分析

http://blog.csdn.net/qq1084283172/article/details/49305827

1、樣本信息

文件名稱：803c617e665ff7e0318386e24df63038

文件大小：61KB

病毒名稱：DDoS/Nitol.A.1562

MD5：803c617e665ff7e0318386e24df63038

Sha-1：e05277aafd161470b020e9e8d2aa2dcb9759328c

 

2、樣本行爲

0x1.打開與當前病毒進程文件同名的信號互斥量，判斷信號互斥量是否存在，防止病毒行爲的二次執行。

 

0x2.經過註冊表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判斷江民、瑞星殺毒軟件的是否存在。

0x3.建立進程快照，判斷360的殺軟進程360sd.exe、360rp.exe是否存在；若是存在，則結束360殺毒的進程360sd.exe和360rp.exe。

0x4.經過註冊表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判斷江民、瑞星殺毒軟件是否存在；若是江民、瑞星的殺軟存在，則建立線程在用戶桌面的右下角僞造360殺軟的彈窗界面迷惑用戶。

0x5.建立線程利用IPC入侵用戶的主機，種植木馬病毒。利用弱口令猜想用戶主機的用戶名和密碼，若是入侵成功則拷貝當前病毒進程文件到用戶主機系統中，而後運行病毒文件，建立病毒進程。

若是當前病毒進程IPC入侵用戶的局域網的主機系統成功，則拷貝當前病毒進程文件到用戶的主機系統中，而後運行病毒文件，建立病毒進程。

0x6.建立線程，在移動設備盤中釋放病毒文件anturun.inf，進行病毒的傳播。

1.判斷遍歷的磁盤是不是移動設備盤，若是是移動設備盤進行病毒文件anturun.inf的釋放和病毒的傳播。

2.判斷遍歷的移動設備盤中是否存在anturun.inf文件夾；若是存在，則將其更名爲隨機字符組成的文件夾名稱；刪除原來正常的anturun.inf文件，建立病毒文件anturun.inf。

3.通過整理後，病毒建立的anturun.inf文件。

4.爲病毒文件anturun.inf建立執行體病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷貝當前病毒文件，建立病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe並設置該病毒文件的屬性爲系統、隱藏屬性。

0x7.經過註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判斷病毒服務"Jklmno Qrstuvwx Abc"是否已經存在。

0x8.若是病毒服務"Jklmno Qrstuvwx Abc"不存在，則建立病毒服務，而後啓動病毒服務。

 

1.判斷當前病毒進程是不是運行在"C:\\WINDOWS\\system32"目錄下；若是不是，則拷貝當前病毒進程的文件，建立和釋放隨機字符組成名稱的病毒文件，如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目錄下。

2.使用釋放到"C:\\WINDOWS\\system32"目錄下的病毒文件tkkiwk.exe建立病毒服務"Jklmno Qrstuvwx Abc"；若是該病毒服務已經存在而且打開病毒服務失敗，則刪除病毒服務、刪除病毒文件自身；若是病毒服務不存在，則啓動病毒服務"Jklmno Qrstuvwx Abc"。

3.若是病毒服務"Jklmno Qrstuvwx Abc"啓動成功，則將病毒服務的信息寫入註冊表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的鍵值對"Description"中。

0x9.若是病毒服務"Jklmno Qrstuvwx Abc"已經存在，則啓動病毒服務。

1.爲服務"Jklmno Qrstuvwx Abc"設置例程處理函數，用於控制服務的狀態。

2.設置建立的病毒服務的狀態，建立互斥信號量"Jklmno Qrstuvwx Abc"並初始化網絡套接字。

0x10.建立線程，主動向病毒做者服務器"zhifan1314.oicp.net"發起網絡鏈接，而後將用戶的電腦的信息如操做系統的版本信息、CPU硬件信息、系統內存等信息發送給遠程控制的病毒做者的服務器上。

1.主動向病毒做者服務器"zhifan1314.oicp.net"發起網絡鏈接。

2.獲取用戶的電腦信息如操做系統的版本信息、CPU硬件信息、系統內存等信息，將其發送到病毒做者的服務器網址"zhifan1314.oicp.net"上。

0x11.接受病毒做者的從遠程發送來的控制命令，解析遠程控制命令進行相關的控制操做，尤爲是建立不少的網絡殭屍線程，致使用戶的電腦和系統主機產生」拒絕服務」的行爲。

1.控制命令1-"2"，建立不少網絡鏈接操做的殭屍線程，IP地址爲"zhifan1314.oicp.net"。

2.控制命令2-"3"，建立瀏覽器進程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"並建立不少發送Http網絡請求的網絡殭屍線程，IP地址爲"zhifan1314.oicp.net"。

3.控制命令3-"4"，建立不少網絡操做的殭屍線程，IP地址爲"zhifan1314.oicp.net"。

4.控制命令4-"6"，經過互斥信號量"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判斷病毒行爲是否已經執行；若是已經執行，則刪除病毒服務"Jklmno Qrstuvwx Abc"並刪除病毒服務建立的註冊表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

5.控制命令5-"16"、"17"，從指定網址下載病毒文件到系統臨時文件目錄下，而後運行病毒文件，建立病毒進程。

6.控制命令6-"18"，若是互斥信號量"Jklmno Qrstuvwx Abc"已經存在，則釋放信號互斥量"Jklmno Qrstuvwx Abc"；從指定網址下載病毒文件到系統臨時文件目錄下，而後運行病毒文件，建立病毒進程；若是病毒服務"Jklmno Qrstuvwx Abc"已經存在，則刪除病毒服務"Jklmno Qrstuvwx Abc"，結束當前進程。

7.控制命令6-"19"，爲當前病毒進程，運行iexplore.exe程序，建立IE進程。

8.控制命令6-"20"，爲桌面窗口，建立iexplore.exe進程。

0x12.死循環，建立無限的線程-用以建立網絡殭屍線程和接受病毒做者的遠程控制，具體的行爲上面已經分析的很詳細了（不重複），只不過此次病毒進程主動鏈接的病毒做者的服務器IP 地址是104.107.207.189:8749。

病毒行爲總結-文字版：

0x1.打開與當前病毒進程文件同名的信號互斥量，判斷信號互斥量是否存在，防止病毒行爲的二次執行。

 

0x2.經過註冊表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判斷江民、瑞星殺毒軟件的是否存在。

 

0x3.建立進程快照，判斷360的殺軟進程360sd.exe、360rp.exe是否存在；若是存在，則結束360殺毒的進程360sd.exe和360rp.exe。

 

0x4.經過註冊表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判斷江民、瑞星殺毒軟件是否存在；若是江民、瑞星的殺軟存在，則建立線程在用戶桌面的右下角僞造360殺軟的彈窗界面迷惑用戶。

 

0x5.建立線程利用IPC入侵用戶的主機，種植木馬病毒。利用弱口令猜想用戶主機的用戶名和密碼，若是入侵成功則拷貝當前病毒進程文件到用戶主機系統中，而後運行病毒文件，建立病毒進程。

 

0x6.建立線程，在移動設備盤中釋放病毒文件anturun.inf，進行病毒的傳播。

 

1.判斷遍歷的磁盤是不是移動設備盤，若是是移動設備盤進行病毒文件anturun.inf的釋放和病毒的傳播。

 

2.判斷遍歷的移動設備盤中是否存在anturun.inf文件夾；若是存在，則將其更名爲隨機字符組成的文件夾名稱；刪除原來正常的anturun.inf文件，建立病毒文件anturun.inf。

 

3.爲病毒文件anturun.inf建立執行體病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷貝當前病毒文件，建立病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe並設置該病毒文件的屬性爲系統、隱藏屬性。

 

0x7.經過註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判斷病毒服務"Jklmno Qrstuvwx Abc"是否已經存在。

 

0x8.若是病毒服務"Jklmno Qrstuvwx Abc"不存在，則建立病毒服務，而後啓動病毒服務。

 

1.判斷當前病毒進程是不是運行在"C:\\WINDOWS\\system32"目錄下；若是不是，則拷貝當前病毒進程的文件，建立和釋放隨機字符組成名稱的病毒文件，如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目錄下。

 

2.使用釋放到"C:\\WINDOWS\\system32"目錄下的病毒文件tkkiwk.exe建立病毒服務"Jklmno Qrstuvwx Abc"；若是該病毒服務已經存在而且打開病毒服務失敗，則刪除病毒服務、刪除病毒文件自身；若是病毒服務不存在，則啓動病毒服務"Jklmno Qrstuvwx Abc"

 

3.若是病毒服務"Jklmno Qrstuvwx Abc"啓動成功，則將病毒服務的信息寫入註冊表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的鍵值對"Description"中。

 

0x9.若是病毒服務"Jklmno Qrstuvwx Abc"已經存在，則啓動病毒服務。

 

1.爲服務"Jklmno Qrstuvwx Abc"設置例程處理函數，用於控制服務的狀態。

 

2.設置建立的病毒服務的狀態，建立互斥信號量"Jklmno Qrstuvwx Abc"並初始化網絡套接字。

 

0x10.建立線程，主動向病毒做者服務器"zhifan1314.oicp.net"發起網絡鏈接，而後將用戶的電腦的信息如操做系統的版本信息、CPU硬件信息、系統內存等信息發送給遠程控制的病毒做者的服務器上。

 

1.主動向病毒做者服務器"zhifan1314.oicp.net"發起網絡鏈接。

 

2.獲取用戶的電腦信息如操做系統的版本信息、CPU硬件信息、系統內存等信息，將其發送到病毒做者的服務器網址"zhifan1314.oicp.net"上。

 

0x11.接受病毒做者的從遠程發送來的控制命令，解析遠程控制命令進行相關的控制操做，尤爲是建立不少的網絡殭屍線程，致使用戶的電腦和系統主機產生」拒絕服務」的行爲。

 

1.控制命令1-"2"，建立不少網絡鏈接操做的殭屍線程，IP地址爲"zhifan1314.oicp.net"。

 

2.控制命令2-"3"，建立瀏覽器進程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"並建立不少發送Http網絡請求的網絡殭屍線程，IP地址爲"zhifan1314.oicp.net"。

 

3.控制命令3-"4"，建立不少網絡操做的殭屍線程，IP地址爲"zhifan1314.oicp.net"。

 

4.控制命令4-"6"，經過互斥信號"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判斷病毒行爲是否已經執行；若是已經執行，則刪除病毒服務"Jklmno Qrstuvwx Abc"並刪除病毒服務建立的註冊表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

 

5.控制命令5-"16"、"17"，從指定網址下載病毒文件到系統臨時文件目錄下，而後運行病毒文件，建立病毒進程。

 

6.控制命令6-"18"，若是互斥信號量"Jklmno Qrstuvwx Abc"已經存在，則釋放信號互斥量"Jklmno Qrstuvwx Abc"；從指定網址下載病毒文件到系統臨時文件目錄下，而後運行病毒文件，建立病毒進程；若是病毒服務"Jklmno Qrstuvwx Abc"已經存在，則刪除病毒服務"Jklmno Qrstuvwx Abc"，結束當前進程。

 

7.控制命令6-"19"，爲當前病毒進程，運行iexplore.exe程序，建立IE進程。

 

8.控制命令6-"20"，爲桌面窗口，建立iexplore.exe進程。

 

0x12.死循環，建立無限的線程-用以建立網絡殭屍線程和接受病毒做者的遠程控制，具體的行爲上面已經分析的很詳細了（不重複），只不過此次病毒進程主動鏈接的病毒做者的服務器IP 地址是104.107.207.189:8749。

文檔的下載地址：http://download.csdn.net/detail/qq1084283172/9201793