一个DDOS木马后门病毒的分析

http://blog.csdn.net/qq1084283172/article/details/49305827

一、样本信息


文件名称:803c617e665ff7e0318386e24df63038

文件大小:61KB

病毒名称:DDoS/Nitol.A.1562

MD5:803c617e665ff7e0318386e24df63038

Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c

 

二、样本行为


0x1.打开与当前病毒进程文件同名的信号互斥量,判断信号互斥量是否存在,防止病毒行为的二次执行。


一个DDOS木马后门病毒的分析_第1张图片

 

0x2.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件的是否存在。


一个DDOS木马后门病毒的分析_第2张图片


0x3.创建进程快照,判断360的杀软进程360sd.exe360rp.exe是否存在;如果存在,则结束360杀毒的进程360sd.exe和360rp.exe。


一个DDOS木马后门病毒的分析_第3张图片


一个DDOS木马后门病毒的分析_第4张图片


0x4.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件是否存在;如果江民、瑞星的杀软存在,则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。


一个DDOS木马后门病毒的分析_第5张图片


0x5.创建线程利用IPC入侵用户的主机,种植木马病毒。利用弱口令猜测用户主机的用户名和密码,如果入侵成功则拷贝当前病毒进程文件到用户主机系统中,然后运行病毒文件,创建病毒进程。


一个DDOS木马后门病毒的分析_第6张图片


一个DDOS木马后门病毒的分析_第7张图片


一个DDOS木马后门病毒的分析_第8张图片


如果当前病毒进程IPC入侵用户的局域网的主机系统成功,则拷贝当前病毒进程文件到用户的主机系统中,然后运行病毒文件,创建病毒进程。


一个DDOS木马后门病毒的分析_第9张图片

一个DDOS木马后门病毒的分析_第10张图片


一个DDOS木马后门病毒的分析_第11张图片


0x6.创建线程,在移动设备盘中释放病毒文件anturun.inf,进行病毒的传播。


一个DDOS木马后门病毒的分析_第12张图片


1.判断遍历的磁盘是否是移动设备盘,如果是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。


一个DDOS木马后门病毒的分析_第13张图片


2.判断遍历的移动设备盘中是否存在anturun.inf文件夹;如果存在,则将其改名为随机字符组成的文件夹名称;删除原来正常的anturun.inf文件,创建病毒文件anturun.inf。


一个DDOS木马后门病毒的分析_第14张图片


一个DDOS木马后门病毒的分析_第15张图片


3.经过整理后,病毒创建的anturun.inf文件。


一个DDOS木马后门病毒的分析_第16张图片


4.为病毒文件anturun.inf创建执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件,创建病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。


一个DDOS木马后门病毒的分析_第17张图片


0x7.通过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。


一个DDOS木马后门病毒的分析_第18张图片


0x8.如果病毒服务"Jklmno Qrstuvwx Abc"不存在,则创建病毒服务,然后启动病毒服务。

 

1.判断当前病毒进程是否是运行在"C:\\WINDOWS\\system32"目录下;如果不是,则拷贝当前病毒进程的文件,创建和释放随机字符组成名称的病毒文件,如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。


一个DDOS木马后门病毒的分析_第19张图片


一个DDOS木马后门病毒的分析_第20张图片


2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe创建病毒服务"Jklmno Qrstuvwx Abc";如果该病毒服务已经存在并且打开病毒服务失败,则删除病毒服务、删除病毒文件自身;如果病毒服务不存在,则启动病毒服务"Jklmno Qrstuvwx Abc"。


一个DDOS木马后门病毒的分析_第21张图片


一个DDOS木马后门病毒的分析_第22张图片


一个DDOS木马后门病毒的分析_第23张图片


3.如果病毒服务"Jklmno Qrstuvwx Abc"启动成功,则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。


一个DDOS木马后门病毒的分析_第24张图片


一个DDOS木马后门病毒的分析_第25张图片


0x9.如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则启动病毒服务。


一个DDOS木马后门病毒的分析_第26张图片


1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数,用于控制服务的状态。


一个DDOS木马后门病毒的分析_第27张图片


2.设置创建的病毒服务的状态,创建互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。


一个DDOS木马后门病毒的分析_第28张图片


0x10.创建线程,主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接,然后将用户的电脑的信息如操作系统的版本信息CPU硬件信息、系统内存等信息发送给远程控制的病毒作者的服务器上。


一个DDOS木马后门病毒的分析_第29张图片


1.主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接。


一个DDOS木马后门病毒的分析_第30张图片


一个DDOS木马后门病毒的分析_第31张图片


2.获取用户的电脑信息如操作系统的版本信息CPU硬件信息、系统内存等信息,将其发送到病毒作者的服务器网址"zhifan1314.oicp.net"上。


一个DDOS木马后门病毒的分析_第32张图片


一个DDOS木马后门病毒的分析_第33张图片


0x11.接受病毒作者的从远程发送来的控制命令,解析远程控制命令进行相关的控制操作,尤其是创建很多的网络僵尸线程,导致用户的电脑和系统主机产生拒绝服务”的行为。


一个DDOS木马后门病毒的分析_第34张图片


1.控制命令1-"2",创建很多网络连接操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。


一个DDOS木马后门病毒的分析_第35张图片


2.控制命令2-"3",创建浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"并创建很多发送Http网络请求的网络僵尸线程,IP地址为"zhifan1314.oicp.net"。


一个DDOS木马后门病毒的分析_第36张图片


一个DDOS木马后门病毒的分析_第37张图片


一个DDOS木马后门病毒的分析_第38张图片


3.控制命令3-"4",创建很多网络操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。


一个DDOS木马后门病毒的分析_第39张图片


4.控制命令4-"6",通过互斥信号量"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行;如果已经执行,则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务创建的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。


一个DDOS木马后门病毒的分析_第40张图片


5.控制命令5-"16""17",从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程。


一个DDOS木马后门病毒的分析_第41张图片


6.控制命令6-"18",如果互斥信号量"Jklmno Qrstuvwx Abc"已经存在,则释放信号互斥量"Jklmno Qrstuvwx Abc";从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程;如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则删除病毒服务"Jklmno Qrstuvwx Abc",结束当前进程。


一个DDOS木马后门病毒的分析_第42张图片


一个DDOS木马后门病毒的分析_第43张图片


7.控制命令6-"19",为当前病毒进程,运行iexplore.exe程序,创建IE进程。


一个DDOS木马后门病毒的分析_第44张图片


8.控制命令6-"20",为桌面窗口,创建iexplore.exe进程。


一个DDOS木马后门病毒的分析_第45张图片


0x12.死循环,创建无限的线程-用以创建网络僵尸线程和接受病毒作者的远程控制,具体的行为上面已经分析的很详细了(不重复),只不过这次病毒进程主动连接的病毒作者的服务器IP 地址是104.107.207.189:8749


一个DDOS木马后门病毒的分析_第46张图片


一个DDOS木马后门病毒的分析_第47张图片


病毒行为总结-文字版


0x1.打开与当前病毒进程文件同名的信号互斥量,判断信号互斥量是否存在,防止病毒行为的二次执行。

 

0x2.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件的是否存在。

 

0x3.创建进程快照,判断360的杀软进程360sd.exe360rp.exe是否存在;如果存在,则结束360杀毒的进程360sd.exe和360rp.exe。

 

0x4.通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件是否存在;如果江民、瑞星的杀软存在,则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。

 

0x5.创建线程利用IPC入侵用户的主机,种植木马病毒。利用弱口令猜测用户主机的用户名和密码,如果入侵成功则拷贝当前病毒进程文件到用户主机系统中,然后运行病毒文件,创建病毒进程。

 

0x6.创建线程,在移动设备盘中释放病毒文件anturun.inf,进行病毒的传播。

 

1.判断遍历的磁盘是否是移动设备盘,如果是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。

 

2.判断遍历的移动设备盘中是否存在anturun.inf文件夹;如果存在,则将其改名为随机字符组成的文件夹名称;删除原来正常的anturun.inf文件,创建病毒文件anturun.inf。

 

3.为病毒文件anturun.inf创建执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件,创建病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。

 

0x7.通过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。

 

0x8.如果病毒服务"Jklmno Qrstuvwx Abc"不存在,则创建病毒服务,然后启动病毒服务。

 

1.判断当前病毒进程是否是运行在"C:\\WINDOWS\\system32"目录下;如果不是,则拷贝当前病毒进程的文件,创建和释放随机字符组成名称的病毒文件,如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。

 

2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe创建病毒服务"Jklmno Qrstuvwx Abc";如果该病毒服务已经存在并且打开病毒服务失败,则删除病毒服务、删除病毒文件自身;如果病毒服务不存在,则启动病毒服务"Jklmno Qrstuvwx Abc"

 

3.如果病毒服务"Jklmno Qrstuvwx Abc"启动成功,则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。

 

0x9.如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则启动病毒服务。

 

1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数,用于控制服务的状态。

 

2.设置创建的病毒服务的状态,创建互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。

 

0x10.创建线程,主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接,然后将用户的电脑的信息如操作系统的版本信息CPU硬件信息、系统内存等信息发送给远程控制的病毒作者的服务器上。

 

1.主动向病毒作者服务器"zhifan1314.oicp.net"发起网络连接。

 

2.获取用户的电脑信息如操作系统的版本信息CPU硬件信息、系统内存等信息,将其发送到病毒作者的服务器网址"zhifan1314.oicp.net"上。

 

0x11.接受病毒作者的从远程发送来的控制命令,解析远程控制命令进行相关的控制操作,尤其是创建很多的网络僵尸线程,导致用户的电脑和系统主机产生”拒绝服务”的行为。

 

1.控制命令1-"2",创建很多网络连接操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。

 

2.控制命令2-"3",创建浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"并创建很多发送Http网络请求的网络僵尸线程,IP地址为"zhifan1314.oicp.net"。

 

3.控制命令3-"4",创建很多网络操作的僵尸线程,IP地址为"zhifan1314.oicp.net"。

 

4.控制命令4-"6",通过互斥信号"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行;如果已经执行,则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务创建的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

 

5.控制命令5-"16""17",从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程。

 

6.控制命令6-"18",如果互斥信号量"Jklmno Qrstuvwx Abc"已经存在,则释放信号互斥量"Jklmno Qrstuvwx Abc";从指定网址下载病毒文件到系统临时文件目录下,然后运行病毒文件,创建病毒进程;如果病毒服务"Jklmno Qrstuvwx Abc"已经存在,则删除病毒服务"Jklmno Qrstuvwx Abc",结束当前进程。

 

7.控制命令6-"19",为当前病毒进程,运行iexplore.exe程序,创建IE进程。

 

8.控制命令6-"20",为桌面窗口,创建iexplore.exe进程。

 

0x12.死循环,创建无限的线程-用以创建网络僵尸线程和接受病毒作者的远程控制,具体的行为上面已经分析的很详细了(不重复),只不过这次病毒进程主动连接的病毒作者的服务器IP 地址是104.107.207.189:8749


文档的下载地址:http://download.csdn.net/detail/qq1084283172/9201793



你可能感兴趣的:(Windows病毒分析,Windows病毒分析)