VirLock的“敲诈者”病毒。

本帖最后由 t2st 于 2016-2-25 17:10 编辑 简述 VirLock的“敲诈者”病毒。它主要是通过强锁电脑里的文档、图片等重要资料，借机敲诈用户赎金0.71比特币（约1000元人民币）。 病毒描述 攻击行为一：感染用户数据文件及可执行文件 感染文件类型 主要感染现象 被感染的文件与原文件图片一致，但是被感染文件是一个可执行病毒文件，再次执行会触发病毒感染行为。 分析流程 通过行为检测得知病毒样本会对数据文件及可执行文件进行感染，将测试文件"1.JPG"放置C盘目录下。通过感染型病毒的遍历磁盘的特征对FindFirstFile（）和FindNextFile（）这两个API函数下断点。 样本对计算机磁盘按照A-Z遍历磁盘，由于测试环境没有软盘，就从C盘开始遍历文件，获取到文件名后提取后缀名进行逐一匹配。 调用ExtractAssociatedIconW（）对正在感染的文件进行判断，确认它是否存在图标，如果存在图标再调用GetIconInfo获得图标的大小，接着创建ioc文件，这个ioc文件生成在样本所在的目录下，也就是我们的桌面。 通过调用CreateFile创建了poEc.exe文件，生成目录是样本所在的文件夹里，也就是桌面,并通过WriteFile（）写入数据。 通过调用UpdateResource来交换poEC.exe和IOik.ico的图标文件，交换后调用EndUpdateResource来终止在poEx.exe中的资源更新，然后通过CopyFile（）将伪造的病毒执行文件拷贝到感染文件的目录下。 通过DeleteFile删除了被感染的文件，以及创建在样本目录的恶意程序和图标，完成感染。[原始文件并没有被删除的，只是被加密了。后来写修复程序的时候才反应过来报告中写错了！] （T_T） 攻击行为二：篡改用户密码 篡改当前用户，并创建一个新的用户。 病毒样本执行后，当前用户的密码会被恶意篡改。 账号名：Administrator(password:unlockpc) 密码：unlockpc 账号名：p9jgjgjgjp9udmdm（账号名为随机生成） 分析流程 恶意篡改计算机当前用户，并将创建的"p9jgjgjgjp9udmdm"用户添加到administrators组、remote desktop组。 攻击行为三：弹出勒索提示，挟持用户界面 病毒全盘感染完毕之后，会弹出勒索提示框进行警告，病毒会勒索0.71 BTC(约合人民币1000元)。 分析流程 经过测试猜测挟持界面主要由被感染的病毒样本释放出来的"bIQckwEg.exe"控制，考虑进一步分析其行为特征。 攻击行为四：感染病毒后缀名隐藏 通过修改注册表"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"中的HideFileExt和Hidden的键值，达到隐藏后缀名欺骗用户点击感染病毒的文件。 分析流程 后缀名隐藏主要是为了将病毒文件伪装成被感染文件，从而欺骗用户点击执行可执行病毒文件。这里主要是通过修改注册表，达到隐藏后缀名。 攻击行为五：自启动/注册系统服务项 "C:\Documents and Settings\Administrator\oUskAAMo\"下创建"Niwgglgm.exe" "C:\Documents and Settings\All Users\QugMcMkc\"下创建"bIQckwEg.exe" "C:\Documents and Settings\All Users\deIEggYc\"下创建文件"aAYEQwMk.exe" 通过"msconfig"来查看计算机自动启动的项目，发现"bIQckwEg.exe"、"Niwgglgm.exe"加入到了启动项。 "aAYEQwMk.exe"注册到系统服务中，服务名为"OIowMkax"（服务名也是随机的大小写字母）。 分析流程 创建文件通过调用CreateFile，设置自启动主要是通过调用注册表API函数将病毒感染样本释放出来的"bIQckwEg.exe"、"Niwgglgm.exe"加入到了启动项。"aAYEQwMk.exe"注册到系统服务中，估计是通过调用CreateService来实现的。 攻击行为六：守护进程 "Niwgglgm.exe"：主要负责感染系统可执行文件及数据文档。 "bIQckwEg.exe"：主要负责弹出勒索提示，并挟持界面。 "aAYEQwMk.exe"：主要负责守护再次。 病毒会创建多个进程，且互相看护，如果其中任何一个进程结束，则会重新创建一个新的实例 攻击行为七：关闭UAC（系统安全功能） 由于测试环境是XP系统，而UAC是属于Windows 7里的系统安全功能。 后话 最近开始看一些感染类型的样本，整理之前学习资料看到以前写报告，就分享出来，可能有很多地方写的不对，但是大家不要在意细节啦。不过也欢迎大家指出不足的地方！挺喜欢这个板块的，把写的一些报告发这里记录自己这个菜鸟的成长。┑(￣。。￣)┍