0x0分析目標(biāo)

詳細分析病毒的行為和目的，編寫出專殺工具以及修復(fù)工具

0x1 信息收集

1.1 哈希值

1.2 查殼

根據(jù)PEid分析結(jié)果得知，該軟件沒有加殼，程序是使用delphi編寫的。

0x2 分析環(huán)境及工具

測試環(huán)境：vmware + Windows XP

分析工具：IDA pro、OD、PEiD等。

0x3 具體行為分析

3.1 主要行為

病毒運行后，會偽裝成系統(tǒng)的spcolsv.exe進程，并修改注冊表，達到啟動運行和隱藏自身的目的，然后會對電腦的全盤文件進行掃描，然后系統(tǒng)的可執(zhí)行文件和網(wǎng)頁文件進行傳播。除此之外，通過139/445端口，嘗試弱密碼登錄，進行網(wǎng)絡(luò)傳播。另外，該病毒還會從網(wǎng)絡(luò)上下載其他惡意軟件或者廣告軟件，達到制作者的目的。

3.2 程序?qū)τ脩粼斐傻奈：?/span>

全盤文件感染和gho備份刪除并感染其他網(wǎng)絡(luò)主機。

3.3 惡意代碼分析

核心功能主要由三個函數(shù)進行實現(xiàn)，下面進行詳細分析。

3.2 安裝和運行部分

檢測當(dāng)前目錄是否存在Desktop_.ini文件，如果存在則刪除，該文件保存病毒感染當(dāng)前目錄的日期。

接著，病毒會通過檢查文件路徑、病毒感染標(biāo)志來確定進當(dāng)前病毒屬于以下三種情況的哪一種情況。進程本身屬于原始病毒文件、被感染的可執(zhí)行文件、以及偽裝目標(biāo)進程三種情況。

• 原始病毒文件

拷貝自身到 ~/system32/driver/目錄，重命名為spcolsv.exe并運行，然后結(jié)束當(dāng)前進程。

• 被感染的可執(zhí)行文件

1）在當(dāng)前目錄釋放被感染的原始文件

2）創(chuàng)建自刪除批處理，并運行

3）拷貝病毒部分到到系統(tǒng)目錄，偽裝系統(tǒng)服務(wù)。

• 偽裝的目的進程文件

繼續(xù)執(zhí)行其他模塊功能。

3.3 感染部分

接下來就是感染其他文件或者感染其他主機，病毒會通過本地文件感染、U盤自動感染以及網(wǎng)絡(luò)三種方式進行傳播。同時，為了防止電腦用戶對系統(tǒng)進行還原，在查找到.gho文件時，會對其進行刪除。

3.3.1 感染本地文件部分

創(chuàng)建一個線程，遍歷所有的磁盤和文件，對不同類類型文件進行處理。

1 刪除GHO文件

防止用戶利用GHO文件進行系統(tǒng)恢復(fù)。

2 感染可執(zhí)行文件

感染目標(biāo)文件后綴類型有：EXE、SCR、PIF、COM

具體感染請參考感染后的文件格式。感染完畢后，會在當(dāng)前目錄中創(chuàng)建Desktop_.ini，并寫入日期（年-月-日），當(dāng)病毒二次掃描到該目錄時，會對當(dāng)前日期和文件內(nèi)的日期進行比較，如果時同一天就不再感染當(dāng)前目錄了。

• 病毒的感染標(biāo)識

感染PE文件后，會在文件的末尾寫上標(biāo)志，格式為：

WhBoy+ 源文件名 + 0x2標(biāo)記 + 源文件大小+0x1標(biāo)記

• 感染文件結(jié)構(gòu)

病毒文件 + 原始文件 + 標(biāo)記字符串

3 感染web文件

感染目標(biāo)文件后綴類型有：htm、html、asp、php、jsp、aspx

在web文件最后加上一句，該內(nèi)容在文件中是加密的，解密后在寫入文件末尾：

3.3.2 磁盤傳播

通過SetTimer，每間隔6s復(fù)制自身所有磁盤的根目錄，將病毒文件賦值到每個磁盤根目錄并重命名為setup.exe。然后寫入autorun.inf，注意這兩個文件都是隱藏了。

3.3.3 網(wǎng)絡(luò)傳播

利用弱密碼通過139/445端口進行登陸.

3.4 自我保護部分

這部分通過設(shè)定4分不同時長的定時器進行，然后定時執(zhí)行下面幾種操作。

3.4.1 殺進程和自啟動

l 遍歷進程和窗口，關(guān)閉特定殺毒軟件或系統(tǒng)工具等

設(shè)定自啟動和隱藏文件

3.4.2 從網(wǎng)絡(luò)下載其他惡意軟件

3.4.3 關(guān)閉默認共享

3.4.4 關(guān)閉殺毒軟件等服務(wù)

0x4 解決方案

4.1 預(yù)防措施

畢竟是很老的病毒了，安裝防火墻殺毒軟件，不要使用弱密碼。

4.2 手工查殺

4.3 編寫專殺工具

思路：

編寫一個程序，遍歷文件，如果是可執(zhí)行文件，則檢查標(biāo)志字符串，如果是被感染文件則還原原始文件，如果是web文件，則刪除最后一個iframe。

具體程序就不編寫了。

好啦，今天的分享就到這兒啦，我們下次見啦~

版權(quán)申明：內(nèi)容來源網(wǎng)絡(luò)，版權(quán)歸原創(chuàng)者所有。除非無法確認，我們都會標(biāo)明作者及出處，如有侵權(quán)煩請告知，我們會立即刪除并表示歉意。謝謝!

---

感謝閱讀