首页 > 安全 > 网络安全 >

Backdoor.Farfli! 1.64D7后门病毒简单分析

2014-02-16

本文主要讲解了对Backdoor Farfli! 1 64D7的分析和手动处理过程。此样本来自瑞星安全日报当日最流行木马,该病毒运行后自删除,释放VBS脚本并运行,同时修改注册表。该病毒会记录键盘操作,盗取用户重要文件、账

本文主要讲解了对Backdoor.Farfli! 1.64D7的分析和手动处理过程。

此样本来自瑞星安全日报当日最流行木马,该病毒运行后自删除,释放VBS脚本并运行,同时修改注册表。该病毒会记录键盘操作,盗取用户重要文件、账号密码等敏感信息。下面我们简单分析一下这个后门病毒行为。

病毒样本介绍

File:209109966_Oomyszb.exe

Size:5MB

MD5:CCE6BDAC15D683883E39EE1063E4051C

瑞星V16+:Backdoor.Farfli!1.64D7

此病毒样本截图如图1所示,瑞星v16查杀该样本截图如图2所示。

\

图1:病毒样本

\

图2:瑞星V16+查杀该样本

病毒样本行为分析

我们这次病毒分析所用工具有processmonitor、SpyShelter Firewall(一款带主防功能的防火墙软件)、smsniff(抓包工具),在运行病毒前,上述三种工具均已在虚拟机里运行并开启捕捉功能。我们在虚拟机里直接双击运行病毒样本209109966_Oomyszb.exe,SpyShelter监控到病毒样本如图3所示病毒行为209109966_Oomyszb.exe(pid:1992)试图注册为系统服务或驱动,对应的程序路径文件为C:\Program Files\Rurvns vkeuc\Oomyszb.exe。

\

图3:209109966_Oomyszb.exe(pid:1992)试图注册为系统服务或驱动

为了更进一步地分析病毒样本行为,在这里我们直接点Allow(允许),SpyShelter又监控到病毒样本调用系统进程Service.exe将Oomyszb.exe注册为系统服务,如图4所示。

\

图4:系统进程Service.exe将Oomyszb.exe进程注册为系统服务

这里继续点击Allow按钮,接下来SpyShelter又监控到进程Oomyszb.exe(pid:3736)试图访问网络,如图5所示。

\

图5:Oomyszb.exe进程试图联网

好,就点击Allow(允许)联网,联网后看看还能有什么病毒行为。点Allow后,SpyShelter监控到病毒样本209109966_Oomyszb.exe试图调用系统程序wscript.exe执行应用程序,如图6所示。

\

图6:209109966_Oomyszb.exe试图调用系统程序wscript.exe执行应用程序

到这里我们先暂停一下,大家可能已经有点糊涂了。一上来就是SpyShelte监控到的一些病毒样本行为,有点乱。我们来看一下processmonitor工具都捕捉到了病毒的那些行为,结合procesmonitor工具捕捉到的记录分析,这样会使我们可以很清晰明了地理解病毒的行为。我们实现已经开启了processmonitor捕捉功能,要筛选出捕捉到病毒样本记录,我们设置过滤条件,如图7所示。由于前面SpyShelte监控到病毒样本的进程pid为:1992,我们就添加pid为:1992及写入文件和设置注册表键值等三项过滤条件,如图7所示。

\

图7:processmonitor设置过滤条件

设置好过滤条件后,processmonitor捕捉到的病毒样本209109966_Oomyszb.exe在运行后向系统C:\Program Files\Rurvns vkeuc,写入文件Oomyszb.exe,即在C:\Program Files\下创建文件夹Rurvns vkeuc并写入Oomyszb.exe文件,如图8所示。

\

图8:processmonitor捕捉到的病毒样本成功,向C:\Program Files\Rurvns vkeuc写入Oomyszb.exe文件

C:\Program Files\Rurvns vkeuc写入的文件如图9所示,文件大小为20MB。

\

图9:写入的病毒文件:Oomyszb.exe

写入病毒文件Oomyszb.exe后,又干了什么?结合前面SpyShelter监控到的病毒行为图3所示,将写入的病毒文件注册为系统服务,图10是processmonitor工具捕捉到的209109966_Oomyszb.exe向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,写入Kyvzts waomga服务项。

\

图10:209109966_Oomyszb.exe写入注册表系统服务项Kyvzts waomga

现在运行regedit打开注册表编辑器,查看具体写入的注册表服务项Kyvzts waomga具体内容都有哪些,如图11所示。

\

图11:注册表编辑器服务项Kyvzts waomga内容

从图11可以看出,病毒样本写入的主要服务项内容如下:

DisplayName(服务名):Xrctcw igsgrenf

Description(服务描述):Oqasyt rfnciqcu ufzvecsymgi

ImagePath(服务对应的进程路径):C:\Program Files\Rurvns vkeuc\Oomyszb.exe

Start(服务启动类型):2 (自动启动)

综上所述,病毒样本209109966_Oomyszb.exe写入文件Oomyszb.exe,并设置为假冒的系统服务Xrctcw igsgrenf,且服务启动类型为自动,也就是当我们开机或重启电脑时,这个服务是自动启动的,说白了就是以系统服务的形式自动运行。

开始运行输入services.msc,打开系统服务列表,如图12所示,在系统服务列表最底下显示了病毒写入的服务Xrctcw igsgrenf。

\

图12:系统服务列表显示的病毒服务:Xrctcw igsgrenf

右键点击Xrctcw igsgrenf服务属性,查看到对应的可执行文件路径为:C:\Program Files\Rurvns vkeuc\Oomyszb.exe,如图13所示。

\

图13:Xrctcw igsgrenf服务属性

接着再看processmonitor还捕捉到了病毒哪些行为,如图14所示,209109966_Oomyszb.exe向c盘下写入一个5024.vbs脚本文件。

\

图14:processmonitor捕捉到写入的vbs脚本行为

到c盘根目录下查看一下5024.vbs这个脚本文件,如图15所示。

\

图15:C盘根目录下的5024.vbs大小为1kb

来看一下这个脚本程序的具体内容是什么,选中右键点编辑,就可以查看到脚本的内容,如图16所示。

\

图16:5024.vbs脚本内容

脚本很简单:就是执行休眠1000毫秒后删除C:\Documents and Settings\Administrator\桌面\新建文件夹下的209109966_Oomyszb.exe,也就是说,病毒母体209109966_Oomyszb.exe会释放一个删除自身的vbs脚本。为什么会sleep 1000毫秒,就是为了先释放病毒文件Oomyszb.exe并注册为服务,干完这些,调用wscript.exe执行脚本删除自身。

还记得前面SpyShelter监控到图6所示的209109966_Oomyszb.exe调用C:\windows\system32\wscript.exe吗?干什么用的?就是来执行5024.vbs,来删除母体209109966_Oomyszb.exe。续前面,我们点击图6的Allow(允许)按钮,之后查看桌面文件夹下的209109966_Oomyszb.exe没有了,如图16-1所示,

\

图16-1:5024.vbs脚本删除病毒样本母体209109966_Oomyszb.exe

同时c盘根目录下的5024.vbs也自杀,如图16-2所示。

\

图16-2:5024.vbs自杀,病毒惯用手法

来看一下,病毒在执行完自我删除后,又有哪些病毒行为。在点击图6中的Allow(允许)按钮执行删除脚本后,SpyShelter监控到如图17所示,系统进程explorer.exe试图记录系统键盘输入内容的病毒行为。

\

图17:SpyShelter监控到explorer.exe试图记录系统键盘输入内容的病毒行为

这里我们继续点击Allow(允许)按钮,紧接着SpyShelter又监控到Oomyszb.exe(创建的病毒服务)一个请求试图通过本机端口1067接收来自网络数据包的行为,如图18所示。

\

图18:Oomyszb.exe服务试图接收数据包

继续点击Allow(允许按钮),SpyShelter监控到Oomyszb.exe通过80端口访问了qq空间,如图19所示。

\

图19:Oomyszb.exe访问QQ空间

这时我们可以来看一下smsniff抓包的内容,如图20所示,smsniff抓到Oomyszb.exe以get方式访问了user.qzone.qq.com/1055069492。

\

图20:smsniff抓到Oomyszb.exe以GET方式访问user.qzone.qq.com/1055069492

根据抓到的数据包内容我们拼接了一下空间地址,即user.qzone.qq.com/1055069492,IE浏览器直接访问一下这个空间地址,如图22所示。

\

图21:IE浏览器访问user.qzone.qq.com/1055069492空间

这个QQ空间里似乎没有什么东西,我们假设如果这个空间提供病毒样本附件或者推广的软件,那么如果有台电脑感染Backdoor.Farfli! 1.64D7后门病毒,就会通过这种方式下载到其他病毒样本从而继续感染系统。后门病毒就是在你不知道的情况下,偷偷在电脑里开启一个门,既可以盗取东西,又可以给你下载一些垃圾或病毒到你的系统。病毒行为分析到此就结束了,简单总结一下:Backdoor.Farfli! 1.64D7后门病毒会在系统释放一个后门病毒样本并将释放的病毒文件注册为系统服务到达开机启动的目的。同时还会释放一个删除自身的脚本文件,在将释放的病毒样本注册为系统服务之后将母体样本自杀,被注册成系统服务的样本文件,具有联网行为并有盗取系统键盘输入内容的可疑行为。

手动处理样本

这个后门病毒手动处理起来很简单,我们运行xuetr,使用xuetr工具查看进程列表,显示有正在运行的Oomyszb.exe病毒进程,如图22所示。

\

图22:xuetr显示的Oomyszb.exe病毒服务进程

接着查看网络连接情况,如图23所示,Oomyszb.exe与远程地址125.39.240.42建立连接,刚好印证了smsniff工具抓到Oomyszb.exe访问QQ空间。

\

图23:xuetr显示的Oomyszb.exe与远程地址125.39.240.42建立了连接

接着再看服务标签,如图24所示。

\

图24:xuetr显示的病毒服务

在xuetr进程列表里右键点击Oomyszb.exe,点强制结束进程并删除文件,如图25所示。

\

图25:使用xuetr强制结束病毒进程并删除文件

还要在服务标签里删除病毒的服务项,右键点击Kyvzts waomga点删除即可,如图26所示。

\

图26:删除病毒服务项

为了验证我们是否将病毒处理干净,需要重启系统,重启系统后使用xuetr查看进程及服务列表里并无病毒进程,说明已成功手动处理,如图27和图28所示。

\

图27:xuetr显示的进程列表里无病毒进程Oomyszb.exe

\

图28:xuetr服务列表里无病毒服务项:Kyvzts waomga

​

相关文章
最新文章
热点推荐