[病毒分析]利用CVE-2012-0158的病毒分析

样本信息:

病毒名称:Office2003宏病毒
MD5: 52E3DDB2349A26BB2F6AE66880A6130C
SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC
CRC32: 7D21F812

环境:

Win7专业版32位
Offi2003 SP3 完全版

工具:

火绒剑,Ollydbg,IDA,Windbg,PEiD Malware Defender

具体行为分析:

如果分析有错误,谢谢大家帮我指正
首先用火绒剑监控一下进程大体动作
在这里插入图片描述
[病毒分析]利用CVE-2012-0158的病毒分析_第1张图片
[病毒分析]利用CVE-2012-0158的病毒分析_第2张图片
[病毒分析]利用CVE-2012-0158的病毒分析_第3张图片
Malware Defender监控到的一些动作
[病毒分析]利用CVE-2012-0158的病毒分析_第4张图片
安装服务
[病毒分析]利用CVE-2012-0158的病毒分析_第5张图片
修改了注册表

[病毒分析]利用CVE-2012-0158的病毒分析_第6张图片
大概就是释放了一个隐藏在里面的PE文件,并且将这个文件运行起来,既然我们知道它是利用了CVE-2012-0158漏洞 那我们就来用OD观察一下具体的shell code
[病毒分析]利用CVE-2012-0158的病毒分析_第7张图片
经典的JMP ESP
在这里插入图片描述
下面就是shell code 代码的开始了
[病毒分析]利用CVE-2012-0158的病毒分析_第8张图片
解密shell code
[病毒分析]利用CVE-2012-0158的病毒分析_第9张图片
往下看 获取函数地址
[病毒分析]利用CVE-2012-0158的病毒分析_第10张图片
跳到写入的数据执行代码
[病毒分析]利用CVE-2012-0158的病毒分析_第11张图片
跟进发现了写入文件的地方
[病毒分析]利用CVE-2012-0158的病毒分析_第12张图片
运行被写好的文件
[病毒分析]利用CVE-2012-0158的病毒分析_第13张图片
写入新的DOC文件
[病毒分析]利用CVE-2012-0158的病毒分析_第14张图片
打开并关闭原来带恶意代码的文件
[病毒分析]利用CVE-2012-0158的病毒分析_第15张图片
最后使用TerminateProcess结束原来的DOC文件掩人耳目
这段shell code 我们已经大概分析完了 接下来我们分析他创建的hkcmd.exe 这个PE文件 找到创建的目录,发现文件PE文件已经被删除了,仔细观察发现他在被删除的目录创造了两个新文件,并且为datac1en.dll这个文件安装了系统服务项,我们可以从Malware Defender的监控中很清楚的看到这些点,由于hkcmd.exe已经被删除,所以我们要在它执行完任务前拷贝一份出来
[病毒分析]利用CVE-2012-0158的病毒分析_第16张图片
[病毒分析]利用CVE-2012-0158的病毒分析_第17张图片
使用IDA分析一下hkcmd.exe
有些函数可能不太熟悉,标注一下就好了
[病毒分析]利用CVE-2012-0158的病毒分析_第18张图片
接下来我们进sub_401000这个函数看一下
[病毒分析]利用CVE-2012-0158的病毒分析_第19张图片
返回主函数往下看
[病毒分析]利用CVE-2012-0158的病毒分析_第20张图片
通过详细的标注以及行为分析,我们已经大致明白了hkcmd.exe这个程序在做什么了,接下来我们就分析datac1en.dll这个被hkcmd.exe创建的服务文件
拖进IDA里看一下
[病毒分析]利用CVE-2012-0158的病毒分析_第21张图片
接下来我们重点分析一下最后一个函数
[病毒分析]利用CVE-2012-0158的病毒分析_第22张图片
发现这个函数里也有许多函数
[病毒分析]利用CVE-2012-0158的病毒分析_第23张图片
我们先每个都大概观察一下,经过观察发现了最后一个是执行攻击者命令的主要函数,我们主要来分析它
首先这个函数可分为三部分
第一部分是从服务器获取解密数据来判断要执行什么命令 没有则等待
第一部分上面一部分是获取函数地址和一些初始化操作,这里只截取关键部分
[病毒分析]利用CVE-2012-0158的病毒分析_第24张图片
第二部分是要执行的命令
由于这些功能函数也非常的长,在这里也不再做展开分析,只分析它 的大致功能

[病毒分析]利用CVE-2012-0158的病毒分析_第25张图片

[病毒分析]利用CVE-2012-0158的病毒分析_第26张图片
第三部分是执行完后加密数据命令或文件发送和返回服务器
[病毒分析]利用CVE-2012-0158的病毒分析_第27张图片
至此病毒的大概功能我们就分析完了

预防和查杀:

不要轻易的打开不明DOC文件,更新升级Office
查杀使用MD5: 52E3DDB2349A26BB2F6AE66880A6130C特征提取

手杀思路:

关闭加载的服务和后门,删除创建的文件,删除被篡改和创建的注册表键值

参考文献

[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.

你可能感兴趣的:(病毒分析)