程序員的成長之路

互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?

閱讀本文大概需要 3 分鐘。

來自：看雪論壇

鏈接：https://bbs.pediy.com/thread-266655.htm

0x0分析目標

詳細分析病毒的行為和目的，編寫出專殺工具以及修復工具

0x1 信息收集

1.1 哈希值

1.2 查殼

根據(jù)PEid分析結(jié)果得知，該軟件沒有加殼，程序是使用delphi編寫的。

0x2 分析環(huán)境及工具

測試環(huán)境：vmware + Windows XP

分析工具：IDA pro、OD、PEiD等。

0x3 具體行為分析

3.1 主要行為

病毒運行后，會偽裝成系統(tǒng)的spcolsv.exe進程，并修改注冊表，達到啟動運行和隱藏自身的目的，然后會對電腦的全盤文件進行掃描，然后系統(tǒng)的可執(zhí)行文件和網(wǎng)頁文件進行傳播。除此之外，通過139/445端口，嘗試弱密碼登錄，進行網(wǎng)絡傳播。另外，該病毒還會從網(wǎng)絡上下載其他惡意軟件或者廣告軟件，達到制作者的目的。

3.2 程序?qū)τ脩粼斐傻奈：?/span>

全盤文件感染和gho備份刪除并感染其他網(wǎng)絡主機。

3.3 惡意代碼分析

核心功能主要由三個函數(shù)進行實現(xiàn)，下面進行詳細分析。

3.2 安裝和運行部分

檢測當前目錄是否存在Desktop_.ini文件，如果存在則刪除，該文件保存病毒感染當前目錄的日期。

接著，病毒會通過檢查文件路徑、病毒感染標志來確定進當前病毒屬于以下三種情況的哪一種情況。進程本身屬于原始病毒文件、被感染的可執(zhí)行文件、以及偽裝目標進程三種情況。

• 原始病毒文件

拷貝自身到 ~/system32/driver/目錄，重命名為spcolsv.exe并運行，然后結(jié)束當前進程。

• 被感染的可執(zhí)行文件

1）在當前目錄釋放被感染的原始文件

2）創(chuàng)建自刪除批處理，并運行

3）拷貝病毒部分到到系統(tǒng)目錄，偽裝系統(tǒng)服務。

• 偽裝的目的進程文件

繼續(xù)執(zhí)行其他模塊功能。

3.3 感染部分

接下來就是感染其他文件或者感染其他主機，病毒會通過本地文件感染、U盤自動感染以及網(wǎng)絡三種方式進行傳播。同時，為了防止電腦用戶對系統(tǒng)進行還原，在查找到.gho文件時，會對其進行刪除。

3.3.1 感染本地文件部分

創(chuàng)建一個線程，遍歷所有的磁盤和文件，對不同類類型文件進行處理。

1 刪除GHO文件

防止用戶利用GHO文件進行系統(tǒng)恢復。

2 感染可執(zhí)行文件

感染目標文件后綴類型有：EXE、SCR、PIF、COM

具體感染請參考感染后的文件格式。感染完畢后，會在當前目錄中創(chuàng)建Desktop_.ini，并寫入日期（年-月-日），當病毒二次掃描到該目錄時，會對當前日期和文件內(nèi)的日期進行比較，如果時同一天就不再感染當前目錄了。

• 病毒的感染標識

感染PE文件后，會在文件的末尾寫上標志，格式為：

WhBoy+ 源文件名 + 0x2標記 + 源文件大小+0x1標記

• 感染文件結(jié)構(gòu)

病毒文件 + 原始文件 + 標記字符串

3 感染web文件

感染目標文件后綴類型有：htm、html、asp、php、jsp、aspx

在web文件最后加上一句，該內(nèi)容在文件中是加密的，解密后在寫入文件末尾：

3.3.2 磁盤傳播

通過SetTimer，每間隔6s復制自身所有磁盤的根目錄，將病毒文件賦值到每個磁盤根目錄并重命名為setup.exe。然后寫入autorun.inf，注意這兩個文件都是隱藏了。

3.3.3 網(wǎng)絡傳播

利用弱密碼通過139/445端口進行登陸.

3.4 自我保護部分

這部分通過設定4分不同時長的定時器進行，然后定時執(zhí)行下面幾種操作。

3.4.1 殺進程和自啟動

l 遍歷進程和窗口，關閉特定殺毒軟件或系統(tǒng)工具等

設定自啟動和隱藏文件

3.4.2 從網(wǎng)絡下載其他惡意軟件

3.4.3 關閉默認共享

3.4.4 關閉殺毒軟件等服務

0x4 解決方案

4.1 預防措施

畢竟是很老的病毒了，安裝防火墻殺毒軟件，不要使用弱密碼。

4.2 手工查殺

4.3 編寫專殺工具

思路：

編寫一個程序，遍歷文件，如果是可執(zhí)行文件，則檢查標志字符串，如果是被感染文件則還原原始文件，如果是web文件，則刪除最后一個iframe。

具體程序就不編寫了。

推薦閱讀：

大學生“暗網(wǎng)”發(fā)現(xiàn)“財富密碼”，結(jié)果悲劇了~

Docker鏡像優(yōu)化：從1.16GB到22.4MB，真強！

互聯(lián)網(wǎng)初中高級大廠面試題(9個G)

內(nèi)容包含Java基礎、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級......等技術(shù)棧！

?戳閱讀原文領?。?/span>? ? ? ? ? ? ? ??? ??? ? ? ? ? ? ? ? ? ?朕已閱?