[病毒分析]利用CVE-2012-0158的病毒分析

样本信息:

病毒名称：Office2003宏病毒
MD5: 52E3DDB2349A26BB2F6AE66880A6130C
SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC
CRC32: 7D21F812

环境:

Win7专业版32位
Offi2003 SP3 完全版

工具:

火绒剑，Ollydbg，IDA，Windbg，PEiD Malware Defender

具体行为分析:

如果分析有错误，谢谢大家帮我指正
首先用火绒剑监控一下进程大体动作




Malware Defender监控到的一些动作

安装服务

修改了注册表

大概就是释放了一个隐藏在里面的PE文件，并且将这个文件运行起来，既然我们知道它是利用了CVE-2012-0158漏洞 那我们就来用OD观察一下具体的shell code

经典的JMP ESP

下面就是shell code 代码的开始了

解密shell code

往下看 获取函数地址

跳到写入的数据执行代码

跟进发现了写入文件的地方

运行被写好的文件

写入新的DOC文件

打开并关闭原来带恶意代码的文件

最后使用TerminateProcess结束原来的DOC文件掩人耳目
这段shell code 我们已经大概分析完了 接下来我们分析他创建的hkcmd.exe 这个PE文件 找到创建的目录，发现文件PE文件已经被删除了，仔细观察发现他在被删除的目录创造了两个新文件，并且为datac1en.dll这个文件安装了系统服务项，我们可以从Malware Defender的监控中很清楚的看到这些点，由于hkcmd.exe已经被删除，所以我们要在它执行完任务前拷贝一份出来


使用IDA分析一下hkcmd.exe
有些函数可能不太熟悉,标注一下就好了

接下来我们进sub_401000这个函数看一下

返回主函数往下看

通过详细的标注以及行为分析，我们已经大致明白了hkcmd.exe这个程序在做什么了,接下来我们就分析datac1en.dll这个被hkcmd.exe创建的服务文件
拖进IDA里看一下

接下来我们重点分析一下最后一个函数

发现这个函数里也有许多函数

我们先每个都大概观察一下，经过观察发现了最后一个是执行攻击者命令的主要函数,我们主要来分析它
首先这个函数可分为三部分
第一部分是从服务器获取解密数据来判断要执行什么命令 没有则等待
第一部分上面一部分是获取函数地址和一些初始化操作，这里只截取关键部分

第二部分是要执行的命令
由于这些功能函数也非常的长，在这里也不再做展开分析，只分析它 的大致功能

第三部分是执行完后加密数据命令或文件发送和返回服务器

至此病毒的大概功能我们就分析完了

预防和查杀:

不要轻易的打开不明DOC文件，更新升级Office
查杀使用MD5: 52E3DDB2349A26BB2F6AE66880A6130C特征提取

手杀思路:

关闭加载的服务和后门，删除创建的文件,删除被篡改和创建的注册表键值

参考文献

[1] 斯科尔斯基 哈尼克. 恶意代码分析实战. 电子工业出版社. 2014.
[2] 戚利. Windows PE权威指南. 机械工业出版社. 2011.
[2] 任晓珲 黑客免杀攻防 . 机械工业出版社. 2013.