样本信息
静态分析1.首先使用PEID和ExeInfo工具对样本进行查壳,以下是查壳结果
2.查看该病毒用了什么算法,发现调用CryptGenRandom函数。
3.用IDA打开,可以清晰得看到代码逻辑,因此该病毒无壳,从字符串窗口中可以看出该病毒在运行的过程中可能会出现的提示信息和信息帮助链接,使用的系统软件
4.查看导入表
在advapi32.dll中看到AdjustTokenPribileges、OpenProcessToken等api,说明病毒运行的时候升级了权限
5.使用ResourceHacker查看发现该软件必须在管理员权限下运行
动态分析
1.运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸
2.运行到后面,电脑会蓝屏,重新开机会出现彩虹猫并发出声音,说明该病毒已覆盖了主引导扇区导致了系统不能正常启动
3.使用动态分析工具,可以看到病毒生成的子进程和执行的操作,从中可以看出该病毒对注册表进行了操作
4.桌面上出现desktop隐藏文件,打开发现使用了shell32.dll和imageres.dll
病毒分析
start处分析
1.可以看出函数的数量并不多,先大致看下程序逻辑:获取系统窗口宽度和高度,获取控制台参数,覆盖主引导扇区,创建10个恶意线程,显示提示信息,执行5次watchdog等
2.OD运行,窗口的宽度和高度分别为:0x5fe,0x2c6,控制台参数为病毒所在路径
消息对话框
由于参数的个数没有大于1,接着弹出消息提示框,提示染上病毒信息
watchdog进程
1.接着程序附加的参数为watchdog(第一次运行时)。
2.当以watchdog为参数运行程序时,执行了5次watchdog,并且遍历所有进程
3.此时已经内设置了消息 HOOK,每个窗口创建的位置都不同,最后使系统蓝屏
main程序
1.随后病毒运行到main程序,附加参数为 main,当再次运行病毒程序时,这时已经运行了watchdog。
2.提升病毒进程的权限
覆盖主引导扇区
1.当程序带着参数运行时,会事先覆盖完主引导扇区的512 个字节空间后,在OD中可以看到写入的恶意代码
2.程序分两次写入内存,并写入到PhysicalDrive0中
线程分析
病毒运行时产生了很多线程,接下来分析每个线程,这些线程执行的操作都不同,但最后进入死循环中,抢占系统资源导致系统蓝屏奔溃。
线程一
运行浏览器软件,随机打开网站浏览,运行任务管理器,注册表管理器等
线程二
打开了记事本,显示提示信息
线程三
鼠标位置失控,在上图中可以看到,鼠标位置会产生很多差图标,导致鼠标不能正常使用
线程四
改变屏幕显示并且桌面上软件界面被复制
线程五
弹出“still using this computer”提示信息
线程六
界面大小改变,桌面变形
线程七
病毒运行的过程中发出声音
线程八
枚举子窗口,随对子窗口进行变形操作
线程九
插入键盘事件,对键盘进行监控
线程十
让桌面变色
解决方案
1.不要打开不知名的下载软件和邮件附件
2.如果系统还能运行,先用查杀软件查杀后,重建 MBR 引导程序
3.如果系统不能运行, 通过启动U盘运行系统,打开分区软件,选择“搜索分区”,之后点击“保存更改”,恢复被彩虹猫吞掉的所有分区,再进行引导修复,重建MBR,重启就可以进入系统,全部文件无损坏、丢失,无需重装系统、更换硬盘等。
