发布时间 : 星期二 文章rmnet感染型病毒分析更新完毕开始阅读303a9f1a7c1cfad6185fa7bb
一、样本信息
病毒名称:Trojan.Win32.Ramnit.efg 文件名称:1Srv.bin
MD5:ff5e1f27193ce51eec318714ef038bef
SHA1:b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6
二、关键行为
创建互斥 “KyUffThOkYwRRtgPP”
投放文件并且运行 “C:\\Program Files\\Microsoft\\DesktopLayer.exe”
文件遍历方式感染全盘后缀为 “.exe”“.dll”“.htm”“.htm”的文件
写入Autorun.inf 自动播放 进行感染
注入浏览器iexplore.exe进程,使用Hook ZwWriteVirualMemory方式来进行写入内存改变EIP执行
劫持 winlogon 系统项的userinit来运行感染病毒母体
连接C&C服务器为443端口,此为HTTPS 访问端口,用来躲避行为检测
连接C&C服务器 fget-career.com 发送窃取数据
三、样本运行流程
此感染病毒共有3层打包,每层使用UPX加壳。第一层包装主要内存解密出PE文件,替换自身当前模块内存。第二层主要判断自身路径是否为“C:\\Program
Files\\Microsoft\\DesktopLayer.exe”,如果不是则拷贝自身母体至此目录下,然后运行此程序。当判断本路径的是的话,则通过注册表取系统自身浏览器路径,内存解密出第三层模块DLL,通过Hook ZwWriteVirtualMemory注入到iexplore.exe进行执行。注入到iexplore.exe的DLL为此感染病毒核心代码,在入口处创建了6个线程,他们分别工作是
1.每隔一秒判断winlogon.exe的userinit是否启动的是感染母体 2.访问google.com:80 网站来进行取当前时间,并且判断 3.取感染时间保存到 “dmlconf.dat”
4.连接C&C服务器”fget-career.com”,发送窃取的数据 5.遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件 6.主要遍历驱动器根目录写autorun.inf方式 进行感染
感染症状:
被感染的.exe 和.dll 程序自身后面都多了一个名为.rmnet的区段
且每次打开被感染的程序,当前目录会有 “母体名+Srv.exe”的程序
被感染的.htm和.html文件会被添加以下内容
被感染的autorun.inf会被写入以下内容
网络症状:
四、详细分析
0x1.第一层包装,主要内存解密出PE文件,替换自身当前模块内存
我们先用查壳工具看看,显示是UPX加壳,我们载入OD可以看到入口是典型的UPX入口特征