此病毒預警是由國家計算機病毒應急處理中心近期發佈的,該病毒會自我刪除進行隱藏,還會向IE收藏夾中釋放URL快捷方式,並篡改IE首頁和下載其他***、病毒等惡意程序。本文對此病毒進行了分析。
此病毒預警是由國家計算機病毒應急處理中心近期發佈的,內容如下:近期出現一種惡意***病毒,該程序會自我刪除進行隱藏,向IE的收藏夾中釋放URL資源地址快捷方式,強行篡改IE主頁並下載其他***、病毒等惡意程序。下面我們就簡單分析一下這個病毒樣本。
病毒樣本簡介
File:dndSet0.exe
Size:482kb
MD5:2204C5FA2F840C5C02605E9F628F8016
瑞星v16:Trojan.Win32.Generic.149277E0
病毒樣本截圖如圖1所示,既然是國家計算機病毒應急處理中心發佈的預警,瑞星v16當然肯定可以查殺此病毒樣本,瑞星v16查殺該樣本如圖2所示。
圖1:病毒樣本
圖2:瑞星v16查殺此病毒樣本
病毒行爲分析
本例講解的病毒行爲分析中所用到的工具是mymonitor,這是一款基於病毒API監控的工具,可以實現對於病毒程序運行過程的全程跟蹤分析,並根據分析出的病毒行爲得出分析報告,其特點包括:1、反映全部進程及子進程的API調用,2、查看文件讀寫、刪除情況,3、查看註冊表讀寫,4、線程模塊調用,工具運行界面如圖3所示。
圖3:MyMonitor工具界面
如圖3所示,我們簡單介紹一下這個工具。這個工具運用起來很簡單,界面分左右及上下共三個窗口,左側窗口列出的是當前系統所有進程,右側窗口是監控窗口,可以將我們要分析的樣本直接拖到這個窗口。拖入這個窗口後病毒就會跑起來,而下面的日誌窗口就會記錄一些病毒的行爲。工具運行後默認就處於監控狀態,在使用這個工具前,我們要先來進行簡單的設置,如設置保存刪除文件的路徑及生成報告的保存路徑等,如圖4所示。
圖4:MyMonitor工具設置界面
設置好之後我們就可以將病毒樣本拖到右側的窗口,需要提醒一下的是,此工具最好在虛擬機下使用,以免實機運行後導致系統中毒。接下來,我們將本例病毒樣本dndSet0.exe直接拖入右側窗口,如圖5所示,MyMonitor對病毒樣本進入監控狀態。
圖5:MyMonitor對病毒樣本的監控
爲了更好地展示病毒行爲,我們對MyMonitor工具事先做了設置,勾選創建進程前詢問。隨後我們將本例病毒樣本dndSet0.exe直接拖入右側窗口,MyMonitor工具立即彈出創建新進程的提示,如圖6所示。
圖6:MyMonitor工具彈出進程創建提示
根據MyMonitor工具提示,我們簡單分析一下病毒行爲,首先,dndSet0.exe要在系統臨時目錄下創建dndTMP文件夾,並向此文件夾下寫入Fav~Url.tmp文件。當然,爲了繼續監控病毒行爲,在這裏我們點擊是,也就是允許創建,允許創建後我們看一下MyMonitor工具後續又監控到了哪些病毒行爲,如圖7所示。
圖7:Fav~Url.tmp向系統收藏夾下寫入大量的url快捷方式
病毒行爲之一:如上圖所示,Fav~Url.tmp在向系統收藏夾寫入如淘寶購物、驢家旅遊等url快捷方式,主要用來對網站進行推廣。如圖8所示,顯示出系統IE瀏覽器的收藏夾下被寫入的推廣網站的url快捷方式。
圖8:IE瀏覽器收藏夾被寫入大量的推廣網站url快捷方式
Fav~Url.tmp在寫入大量的推廣網站url快捷方式之後就退出了,mymonitor工具監視到Fav~Url.tmp退出如圖9所示。
圖9:mymonitor監控到的Fav~Url.tmp退出行爲
Fav~Url.tmp退出之後,mymonitor又監控到了病毒另一行爲,如圖10所示,調用命令行,並以隱藏命令行窗口的方式執行命令:C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx。
圖10:mymonitor監控到的新的創建進程行爲
根據命令提示大致可以猜測出病毒是想將系統臨時目錄下的fbinst.dll拷貝到C:\WINDOWS\dndOnce\並命名爲SUPPORT.IM_,同樣,爲了繼續觀察病毒行爲,在這裏我們點擊是,如圖11所示,mymonitor監控到病毒行爲。
圖11:mymonitor監控到執行結果
在執行C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx命令行之後,mymonitor又監控到了病毒以隱藏命令行窗口的方式執行命令C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f,修改IE主頁爲http://www.hao123.com.vc,如圖12所示。
圖12:修改IE主頁爲http://www.hao123.com.vc
同樣在這裏點擊是,允許病毒修改IE主頁,點擊是之後,我們來查看一下主頁,如圖13所示,IE瀏覽器主頁被修改爲http://www.hao123.com.vc,最終訪問到的地址爲http://www.hao123.com/?tn=43061099_195_hao_pg。
圖13:IE主頁被修改爲http://www.hao123.com/?tn=43061099_195_hao_pg
簡單解釋一下圖12的命令行。首先,病毒以隱藏命令行窗口的方式執行了“以發送50次回顯請求數”,ping -n 50指ping時發送包的次數,這裏爲50次,本機迴環地址爲127.0.0.1,C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50這個命令行完成之後,使用reg註冊表命令執行強制修改主頁爲http://www.hao123.com.vc,也就是“
® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”這段命令行。
符號“&”應該是並列執行的意思,可以理解爲:
1. 執行C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50
2. 執行C:\WINDOWS\system32\cmd.exe /c reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f
我們接下來再看看病毒在修改IE主頁後又有哪些行爲,mymonitor監控到病毒又執行了同樣ping本機迴環地址127.0.0.1還是50次,如圖14所示。這裏爲什麼又執行了ping的操作?估計應該是休眠延時,等待一會再執行後續的動作。
圖14:執行ping操作
在成功執行ping操作後,mymonitor監控到病毒執行了自殺(刪除病毒母體),同樣還是隱藏命令行窗口方式“C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:\Documents and Settings\Administrator\桌面\dndSet0.exe"”,如圖15所示。
圖15:病毒執行刪除病毒母體操作
在執行完刪除病毒母體後,mymonitor未再有任何創建新進程的提示,也沒有聯網動作,看來是病毒執行完了,我們可以重啓一下電腦,查看一下是否還有其他病毒行爲。重啓電腦發現只是IE主頁被修改,IE收藏夾被寫入大量推廣網站的url快捷方式,接下來講解一下病毒手動處理。
病毒處理
這個病毒行爲很少,處理起來也相對簡單,我們直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的電腦修復工具,掃描出IE主頁註冊表權限異常,如圖16所示。
圖16:瑞星安全助手掃描出IE主頁異常
勾選此項,點立即修復,如圖17所示,修復成功。
圖17:使用瑞星安全助手成功修復IE異常主頁
接下來使用瑞星安全助手的IE主頁保護功能鎖定一下自己喜歡的主頁,這裏推薦hao.rising.cn,如圖18、19所示。
圖18:使用瑞星安全助手鎖定主頁
圖19:鎖定IE主頁爲http://hao.rising.cn
最終IE主頁被修改成功如圖20所示。
圖20:IE主頁鎖定成功
接下來再手動刪除病毒在收藏夾裏添加的推廣網站url快捷方式,如圖21所示。
圖21:刪除ie收藏夾裏網站推廣url快捷方式
手動刪除IE收藏夾網站推廣url後,IE收藏夾變得清爽多了,如圖22所示。
圖22:成功修復IE收藏夾