样本信息:
病毒名称:Office2003宏病毒
MD5: 52E3DDB2349A26BB2F6AE66880A6130C
SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC
CRC32: 7D21F812
环境:
Win7专业版32位
Offi2003 SP3 完全版
工具:
火绒剑,Ollydbg,IDA,Windbg,PEiD Malware Defender
具体行为分析:
如果分析有错误,谢谢大家帮我指正
首先用火绒剑监控一下进程大体动作
Malware Defender监控到的一些动作
安装服务
修改了注册表
大概就是释放了一个隐藏在里面的PE文件,并且将这个文件运行起来,既然我们知道它是利用了CVE-2012-0158漏洞 那我们就来用OD观察一下具体的shell code
经典的JMP ESP
下面就是shell code 代码的开始了
解密shell code
往下看 获取函数地址
跳到写入的数据执行代码
跟进发现了写入文件的地方
运行被写好的文件
写入新的DOC文件
打开并关闭原来带恶意代码的文件
最后使用TerminateProcess结束原来的DOC文件掩人耳目
这段shell code 我们已经大概分析完了 接下来我们分析他创建的hkcmd.exe 这个PE文件 找到创建的目录,发现文件PE文件已经被删除了,仔细观察发现他在被删除的目录创造了两个新文件,并且为datac1en.dll这个文件安装了系统服务项,我们可以从Malware Defender的监控中很清楚的看到这些点,由于hkcmd.exe已经被删除,所以我们要在它执行完任务前拷贝一份出来
使用IDA分析一下hkcmd.exe
有些函数可能不太熟悉,标注一下就好了
接下来我们进sub_401000这个函数看一下
返回主函数往下看
通过详细的标注以及行为分析,我们已经大致明白了hkcmd.exe这个程序在做什么了,接下来我们就分析datac1en.dll这个被hkcmd.exe创建的服务文件
拖进IDA里看一下
接下来我们重点分析一下最后一个函数
发现这个函数里也有许多函数
我们先每个都大概观察一下,经过观察发现了最后一个是执行攻击者命令的主要函数,我们主要来分析它
首先这个函数可分为三部分
第一部分是从服务器获取解密数据来判断要执行什么命令 没有则等待
第一部分上面一部分是获取函数地址和一些初始化操作,这里只截取关键部分
第二部分是要执行的命令
由于这些功能函数也非常的长,在这里也不再做展开分析,只分析它 的大致功能
第三部分是执行完后加密数据命令或文件发送和返回服务器
至此病毒的大概功能我们就分析完了
预防和查杀:
不要轻易的打开不明DOC文件,更新升级Office
查杀使用MD5: 52E3DDB2349A26BB2F6AE66880A6130C特征提取
手杀思路:
关闭加载的服务和后门,删除创建的文件,删除被篡改和创建的注册表键值
参考文献
[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.