一个DDOS木马后门病毒的分析

http://blog.csdn.net/qq1084283172/article/details/49305827

1、样本信息

文件名称：803c617e665ff7e0318386e24df63038

文件大小：61KB

病毒名称：DDoS/Nitol.A.1562

MD5：803c617e665ff7e0318386e24df63038

Sha-1：e05277aafd161470b020e9e8d2aa2dcb9759328c

 

2、样本行为

0x1.打开与当前病毒进程文件同名的信号互斥量，判断信号互斥量是否存在，防止病毒行为的二次执行。

 

0x2.经过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件的是否存在。

0x3.建立进程快照，判断360的杀软进程360sd.exe、360rp.exe是否存在；若是存在，则结束360杀毒的进程360sd.exe和360rp.exe。

0x4.经过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件是否存在；若是江民、瑞星的杀软存在，则建立线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。

0x5.建立线程利用IPC入侵用户的主机，种植木马病毒。利用弱口令猜想用户主机的用户名和密码，若是入侵成功则拷贝当前病毒进程文件到用户主机系统中，而后运行病毒文件，建立病毒进程。

若是当前病毒进程IPC入侵用户的局域网的主机系统成功，则拷贝当前病毒进程文件到用户的主机系统中，而后运行病毒文件，建立病毒进程。

0x6.建立线程，在移动设备盘中释放病毒文件anturun.inf，进行病毒的传播。

1.判断遍历的磁盘是不是移动设备盘，若是是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。

2.判断遍历的移动设备盘中是否存在anturun.inf文件夹；若是存在，则将其更名为随机字符组成的文件夹名称；删除原来正常的anturun.inf文件，建立病毒文件anturun.inf。

3.通过整理后，病毒建立的anturun.inf文件。

4.为病毒文件anturun.inf建立执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件，建立病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。

0x7.经过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。

0x8.若是病毒服务"Jklmno Qrstuvwx Abc"不存在，则建立病毒服务，而后启动病毒服务。

 

1.判断当前病毒进程是不是运行在"C:\\WINDOWS\\system32"目录下；若是不是，则拷贝当前病毒进程的文件，建立和释放随机字符组成名称的病毒文件，如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。

2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe建立病毒服务"Jklmno Qrstuvwx Abc"；若是该病毒服务已经存在而且打开病毒服务失败，则删除病毒服务、删除病毒文件自身；若是病毒服务不存在，则启动病毒服务"Jklmno Qrstuvwx Abc"。

3.若是病毒服务"Jklmno Qrstuvwx Abc"启动成功，则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。

0x9.若是病毒服务"Jklmno Qrstuvwx Abc"已经存在，则启动病毒服务。

1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数，用于控制服务的状态。

2.设置建立的病毒服务的状态，建立互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。

0x10.建立线程，主动向病毒做者服务器"zhifan1314.oicp.net"发起网络链接，而后将用户的电脑的信息如操做系统的版本信息、CPU硬件信息、系统内存等信息发送给远程控制的病毒做者的服务器上。

1.主动向病毒做者服务器"zhifan1314.oicp.net"发起网络链接。

2.获取用户的电脑信息如操做系统的版本信息、CPU硬件信息、系统内存等信息，将其发送到病毒做者的服务器网址"zhifan1314.oicp.net"上。

0x11.接受病毒做者的从远程发送来的控制命令，解析远程控制命令进行相关的控制操做，尤为是建立不少的网络僵尸线程，致使用户的电脑和系统主机产生”拒绝服务”的行为。

1.控制命令1-"2"，建立不少网络链接操做的僵尸线程，IP地址为"zhifan1314.oicp.net"。

2.控制命令2-"3"，建立浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"并建立不少发送Http网络请求的网络僵尸线程，IP地址为"zhifan1314.oicp.net"。

3.控制命令3-"4"，建立不少网络操做的僵尸线程，IP地址为"zhifan1314.oicp.net"。

4.控制命令4-"6"，经过互斥信号量"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行；若是已经执行，则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务建立的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

5.控制命令5-"16"、"17"，从指定网址下载病毒文件到系统临时文件目录下，而后运行病毒文件，建立病毒进程。

6.控制命令6-"18"，若是互斥信号量"Jklmno Qrstuvwx Abc"已经存在，则释放信号互斥量"Jklmno Qrstuvwx Abc"；从指定网址下载病毒文件到系统临时文件目录下，而后运行病毒文件，建立病毒进程；若是病毒服务"Jklmno Qrstuvwx Abc"已经存在，则删除病毒服务"Jklmno Qrstuvwx Abc"，结束当前进程。

7.控制命令6-"19"，为当前病毒进程，运行iexplore.exe程序，建立IE进程。

8.控制命令6-"20"，为桌面窗口，建立iexplore.exe进程。

0x12.死循环，建立无限的线程-用以建立网络僵尸线程和接受病毒做者的远程控制，具体的行为上面已经分析的很详细了（不重复），只不过此次病毒进程主动链接的病毒做者的服务器IP 地址是104.107.207.189:8749。

病毒行为总结-文字版：

0x1.打开与当前病毒进程文件同名的信号互斥量，判断信号互斥量是否存在，防止病毒行为的二次执行。

 

0x2.经过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件的是否存在。

 

0x3.建立进程快照，判断360的杀软进程360sd.exe、360rp.exe是否存在；若是存在，则结束360杀毒的进程360sd.exe和360rp.exe。

 

0x4.经过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\"，判断江民、瑞星杀毒软件是否存在；若是江民、瑞星的杀软存在，则建立线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。

 

0x5.建立线程利用IPC入侵用户的主机，种植木马病毒。利用弱口令猜想用户主机的用户名和密码，若是入侵成功则拷贝当前病毒进程文件到用户主机系统中，而后运行病毒文件，建立病毒进程。

 

0x6.建立线程，在移动设备盘中释放病毒文件anturun.inf，进行病毒的传播。

 

1.判断遍历的磁盘是不是移动设备盘，若是是移动设备盘进行病毒文件anturun.inf的释放和病毒的传播。

 

2.判断遍历的移动设备盘中是否存在anturun.inf文件夹；若是存在，则将其更名为随机字符组成的文件夹名称；删除原来正常的anturun.inf文件，建立病毒文件anturun.inf。

 

3.为病毒文件anturun.inf建立执行体病毒程序recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe即拷贝当前病毒文件，建立病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\GHOSTBAK.exe并设置该病毒文件的属性为系统、隐藏属性。

 

0x7.经过注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentContaRolset\Services\Jklmno Qrstuvwx Abc判断病毒服务"Jklmno Qrstuvwx Abc"是否已经存在。

 

0x8.若是病毒服务"Jklmno Qrstuvwx Abc"不存在，则建立病毒服务，而后启动病毒服务。

 

1.判断当前病毒进程是不是运行在"C:\\WINDOWS\\system32"目录下；若是不是，则拷贝当前病毒进程的文件，建立和释放随机字符组成名称的病毒文件，如"C:\\WINDOWS\\system32\\tkkiwk.exe"到"C:\\WINDOWS\\system32"目录下。

 

2.使用释放到"C:\\WINDOWS\\system32"目录下的病毒文件tkkiwk.exe建立病毒服务"Jklmno Qrstuvwx Abc"；若是该病毒服务已经存在而且打开病毒服务失败，则删除病毒服务、删除病毒文件自身；若是病毒服务不存在，则启动病毒服务"Jklmno Qrstuvwx Abc"

 

3.若是病毒服务"Jklmno Qrstuvwx Abc"启动成功，则将病毒服务的信息写入注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"的键值对"Description"中。

 

0x9.若是病毒服务"Jklmno Qrstuvwx Abc"已经存在，则启动病毒服务。

 

1.为服务"Jklmno Qrstuvwx Abc"设置例程处理函数，用于控制服务的状态。

 

2.设置建立的病毒服务的状态，建立互斥信号量"Jklmno Qrstuvwx Abc"并初始化网络套接字。

 

0x10.建立线程，主动向病毒做者服务器"zhifan1314.oicp.net"发起网络链接，而后将用户的电脑的信息如操做系统的版本信息、CPU硬件信息、系统内存等信息发送给远程控制的病毒做者的服务器上。

 

1.主动向病毒做者服务器"zhifan1314.oicp.net"发起网络链接。

 

2.获取用户的电脑信息如操做系统的版本信息、CPU硬件信息、系统内存等信息，将其发送到病毒做者的服务器网址"zhifan1314.oicp.net"上。

 

0x11.接受病毒做者的从远程发送来的控制命令，解析远程控制命令进行相关的控制操做，尤为是建立不少的网络僵尸线程，致使用户的电脑和系统主机产生”拒绝服务”的行为。

 

1.控制命令1-"2"，建立不少网络链接操做的僵尸线程，IP地址为"zhifan1314.oicp.net"。

 

2.控制命令2-"3"，建立浏览器进程"C:\\windows\\system32\\Program Files\\Internet Explorer\\iexplore.exe"并建立不少发送Http网络请求的网络僵尸线程，IP地址为"zhifan1314.oicp.net"。

 

3.控制命令3-"4"，建立不少网络操做的僵尸线程，IP地址为"zhifan1314.oicp.net"。

 

4.控制命令4-"6"，经过互斥信号"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判断病毒行为是否已经执行；若是已经执行，则删除病毒服务"Jklmno Qrstuvwx Abc"并删除病毒服务建立的注册表"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ "Jklmno Qrstuvwx Abc"。

 

5.控制命令5-"16"、"17"，从指定网址下载病毒文件到系统临时文件目录下，而后运行病毒文件，建立病毒进程。

 

6.控制命令6-"18"，若是互斥信号量"Jklmno Qrstuvwx Abc"已经存在，则释放信号互斥量"Jklmno Qrstuvwx Abc"；从指定网址下载病毒文件到系统临时文件目录下，而后运行病毒文件，建立病毒进程；若是病毒服务"Jklmno Qrstuvwx Abc"已经存在，则删除病毒服务"Jklmno Qrstuvwx Abc"，结束当前进程。

 

7.控制命令6-"19"，为当前病毒进程，运行iexplore.exe程序，建立IE进程。

 

8.控制命令6-"20"，为桌面窗口，建立iexplore.exe进程。

 

0x12.死循环，建立无限的线程-用以建立网络僵尸线程和接受病毒做者的远程控制，具体的行为上面已经分析的很详细了（不重复），只不过此次病毒进程主动链接的病毒做者的服务器IP 地址是104.107.207.189:8749。

文档的下载地址：http://download.csdn.net/detail/qq1084283172/9201793