Mydoom樣本分析報告
檔案檢測
| 資訊 | 值 |
|---|---|
| 檔名 | 1.virus |
| 檔案型別 | WIN 32 EXE |
| 檔案大小 | 41664 bytes |
| MD5 | 3d466b0f8ba9f3fe03e137a34d79f682 |
| SHA-256 | 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca |
| 加殼 | upx 2.90 |
匯入函式
通過匯入表函式可以看出病毒有以下行為:
- 檔案建立
- 執行緒注入
- 登錄檔修改
- 網路行為
動態行為分析
regshot建立登錄檔快照,同時監控程式程序,使用wireshark實時監控網路行為
登錄檔
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG] "Seed"=hex:f4,9d,30,f1,c6,bc,ea,49,17,69,71,10,29,fe,0c,34,1a,7c,76,bd,cf,ab,\ d9,02,17,5e,1e,43,3e,12,f7,8d,1e,0a,36,d9,4a,82,b7,5e,cb,b1,08,ea,a1,31,1c,\ 86,dd,21,54,de,53,28,41,a5,d8,ee,79,3d,f4,9c,62,7f,63,b4,64,ac,25,07,ba,76,\ 18,10,f4,aa,c9,89,87,61 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JavaVM"="C:\\WINDOWS\\java.exe" "Services"="C:\\WINDOWS\\services.exe" [HKEY_CURRENT_USER\Software\Microsoft\Daemon] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vir] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vir\OpenWithList] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections] "SavedLegacySettings"=hex:3c,00,00,00,5b,01,00,00,01,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,19,00,00,00,68,74,74,70,3a,2f,2f,31,32,37,\ 2e,30,2e,30,2e,31,2f,77,70,61,64,2e,64,61,74,f0,b0,88,2c,93,41,d3,01,01,00,\ 00,00,c0,a8,f4,83,00,00,00,00,00,00,00,00
- 建立servers.exe和java.exe
C:\\WINDOWS\\java.exe和C:\\WINDOWS\\services.exe設定為自啟動- 設定
http://127.0.0.1/wpad.dat為代理伺服器,HTTP會話劫持
備註:
隨機種子:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
程序行為
- 臨時路徑下建立services.exe和java.exe使用,
"C:\Users\HK_MAY~1\AppData\Local\Temp\services.exe" - 主程式與services.exe進行通訊(services.exe->主程式->網路)
- services.exe設定瀏覽器代理
網路行為
既然有瀏覽器和郵件的相關惡意行為,那麼主要看HTTP,HTTPS,SMTP,DNS協議
- 通過瀏覽器查詢資訊
- 傳送郵件,資訊如第三張圖
通過上面動態分析,總結和推測如下
- 釋放檔案services.exe和java.exe
- 修改登錄檔,設定隨機數種子、開啟自啟程式、HTTP代理
- services.exe通過劫持會話,作為本地主程式與網路的中間伺服器,傳送郵件資訊到網路,接受網路資料到主程式
靜態分析
主程式分析
全域性分析
建立互斥體
主機+root,將非字母替換為大寫字母,以此命名互斥體,確保一個病毒執行
釋放檔案
1.在系統臨時目錄建立zincite.log
C:\Users\10245\AppData\Local\Temp\zincite.log
2.釋放services.exe,並執行
servers.exe元資料
建立java.exe
設定自啟項
將C:\Windows\java.exe寫入登錄檔自啟動HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
建立執行緒關閉rctrl_renwnd32,ATH_Note,IEFrame視窗
建立執行緒,從瀏覽器獲取並篩選郵箱地址,構建欺騙郵件資訊
首先判斷了網路狀態
首先進入通過搜尋引擎獲取同類型郵箱地址
構造搜尋連結
構造引數
引數1包括:
contact+mail
contack+email
contact+e-mail
reply
mailto
通過@後的域名+引數1或引數1+@後的域名構建最終的引數
搜尋連結形式包括
http://www.altavista.com/web/results?q=%s&kgs=0&kls=0&nbq=%d
http://www.altavista.com/web/results?q=%s&kgs=0&kls=0
http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=&n=%d
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=&num=%d
前一個引數為之前構造的字串,後一個表示搜尋數量20/50隨機
篩選域名與使用者資訊
篩選域名資訊
巢狀迴圈,外層獲取到的域名字串,內層指定域名字串,只要獲取到的域名中包含了其中指定的字串,就會排除。
avp,syma,sarc.,microsoft,msdn,msn.,hotmail,panda,spersk,yahoo,sophos,example,domain,uslis,update,trend,foo.com,bar.,secur,seclist,gmail,gnu.,google,arin.,ripe.,sourcedorge,sf.net,rarsoft,winzip,winrar
使用者資訊排除
全字元匹配
info
noone
nobody
nothing
anyone
someone
your
you
me
rating
site
soft
no
foo
help
not
feste
ca
gold-certs
the.bat
page
子串匹配
admin
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d
構建欺騙郵件與附件
構建欺騙郵件資訊
發件人資訊構造方式
tb1 = ["Mail Delivery Subsystem","MAILER-DAEMON","Returned mail","Bounced mail","The Post Office","Post Office","Automatic Email Delivery Software","Mail Administrator","Postmaster"]
tb2 = ["MAILER-DAEMON","noreply","postmaster"]
這兩個列表隨機組合,最終組合形式tb1+<+tb2+@+域名+>,例如The Post Office<[email protected]>
郵件主題
作為傳送失敗的資訊
Returned mail: Data format error
Returned mail: see transcript for details
Delivery reports about your e-mail
Mail System Error - Returned Mail
Message could not be delivered
delivery failed
report
test
status
error
hi
hello
指定附件型別
實際上,這裡就是分為了兩部分,前部分偽造資訊為htm,html,txt,doc,後部分為com,pif,scr,exe,實際上後部分才是附件真正的格式。例如pwd.txt .exe
或者直接為.zip檔案
構建欺騙郵件資訊
參考:https://famguardian.org/Subjects/Computers/Security/ImpersEmailAddr.htm
提取附件郵箱資訊
遞迴遍歷目錄,獲取指定字尾檔案中的郵箱地址
遞迴遍歷目錄C:\Local Settings\Temporary Internet Files\.,獲取指定檔案包含的郵箱資訊
查詢指定字尾檔案中的郵件資訊,並且也對其中的資訊進行了篩選
.pl*.ph*.tx*.tbb.ht*.asp.sht.dbx.adb.wab
遞迴遍歷硬碟驅動器或快閃記憶體驅動器(字元從C增加),獲取指定字尾檔案中的郵箱地址
這裡還有一些郵件的內容資訊
services.exe
| 資訊 | 值 |
|---|---|
| 檔名 | services.exe |
| 檔案型別 | WIN 32 EXE |
| 檔案大小 | 8192 bytes |
| MD5 | b0fe74719b1b647e2056641931907f4a |
| SHA-256 | bf316f51d0c345d61eaee3940791b64e81f676e3bca42bad61073227bee6653c |
| 加殼 | UPX 2.90 |
包含檔案行為,登錄檔修改,網路行為
靜態分析
主要做了三件事
- 對zincite.log檔案操作
- 修改登錄檔,設定services.exe為自啟項
- 繫結埠號1034,作為伺服器開放監視埠(後門)
java.exe和主程式相同的
| 資訊 | 值 |
|---|---|
| 檔名 | java.exe |
| 檔案型別 | WIN32 EXE |
| MD5 | 90c2d4ca3613c5d17f1c938ce076fef2 |
| 檔案大小 | 41664 bytes |
IOC資訊
家族:Mydoom描述:MyDoom是一種通過電子郵件附件和P2P網路Kazaa傳播的病毒,當用戶開啟並執行附件內的病毒程式後,病毒就會以使用者信箱內的電子郵件地址為目標,偽造郵件的源地址,向外傳送大量帶有病毒附件的電子郵件,同時在使用者主機上留下可以上載並執行任意程式碼的後門。MD5S:3d466b0f8ba9f3fe03e137a34d79f68290c2d4ca3613c5d17f1c938ce076fef2b0fe74719b1b647e2056641931907f4aIPS15.54.159.1494.240.75.254TTPSUPX加殼郵件傳送失敗返回登錄檔修改自啟項遞迴遍歷獲取郵箱資訊搜尋引擎構建連結獲取郵箱資訊檔案特徵字串java.exeservices.exezincite"Mail Delivery Subsystem","MAILER-DAEMON","Returned mail","Bounced mail","The Post Office","Post Office","Automatic Email Delivery Software","Mail Administrator","Postmaster","MAILER-DAEMON","noreply","postmaster"Returned mail: Data format errorReturned mail: see transcript for detailsDelivery reports about your e-mailMail System Error - Returned MailMessage could not be delivereddelivery failedreportteststatuserrorhihello