1. 程式人生 > >病毒木馬查殺實戰第027篇:“白加黑”惡意程式研究(中)

病毒木馬查殺實戰第027篇:“白加黑”惡意程式研究(中)

前言

       這次討論的是一個真實的非常典型的利用“白加黑”手段進行破壞的團伙,我能深刻地感受到它們在很多方面確實是花了一些心思的,也就是在隱藏自身行為,誘惑純潔的大眾進行點選從而得到執行方面,是有一些亮點的,那麼這次我就為大家來層層揭示一下那些比較有趣的地方。

 

病毒作者的第一個小心思

       這次的樣本也是我們的技術支援在N個月之前發給我分析的,是一個.rar的壓縮包:


       壓縮包裡面還有一個資料夾,注意,這個資料夾可以算是病毒作者的第一個小心思。首先從名稱上來看,估計又是誰做的遊戲輔助在價位上有更新,生怕大家不相信,還加上了“信譽”二字,這種“裝無辜”的做法,正是惡意程式常用的手段。直接將這個資料夾拽出來解壓縮,於是就看到了這幾個檔案:


       現在重點來了,截圖中名為dat的資料夾還有名為HD_Comm.dll的檔案是虛化顯示的,意味著這哥倆兒的屬性為“隱藏”,這就很奇怪了,如果你內心光明磊落,那為什麼還躲躲藏藏的呢?另外,你不就是想給客戶展示一下價格嗎?明明一個影象檔案(或表格檔案)就能搞定的事,為啥還會包含有資料夾和.dll檔案呢?需要強調的是,還好我的安全意識還是比較強的,對資料夾選項做了這樣的設定:


       於是,病毒如果想在檔案屬性(隱藏、系統)還有副檔名上做文章,我都能第一時間發現了,這也是我一直以來強調的,為了安全起見,大家一定要對自己的計算機進行如上圖那樣的設定。

       講到這裡我就想說說我之前提到的“病毒作者的第一個小心思”了,大家也看到了,“信譽新價格”資料夾中有兩個專案是隱藏的,只有一個是正常可見的(誘惑大家點選)。病毒作者建立這樣一個資料夾的目的就是為了讓大家在解壓縮的時候不讓大家發現那兩個隱藏專案,舉個例子來說,假設病毒作者沒有建立“信譽新價格”資料夾,而是直接把那三個專案打包壓縮,那麼我們在解壓縮的時候就會見到這樣的情況:


       我們的解壓縮軟體可不管你是不是隱藏屬性,不管三七二十一,把所有檔案都顯示出來了,於是這就勢必引起了大家的警覺,可能覺得這些檔案有問題了(當然了,我相信即便如此,也會有不少朋友上當)。可見病毒作者在細節問題上,處理得還是不錯的。

       講到這裡,可能有些朋友會說:就算病毒作者建立了“信譽新價格”資料夾,但是按照習慣,我一般還是會在解壓軟體裡面雙擊開啟看看這個資料夾裡有啥,然後再決定要不要解壓,這樣一來,這三個專案不也露餡了嗎?確實,但是病毒作者賭的就是你不會點開,賭的就是即便你點開了,也看不出貓膩。世界上並不存在完美的,一定能成功誘惑你點選的方法,賭的就是大家安全防範意識的強弱罷了。

 

病毒作者的第二個小心思

       我們暫且不管那兩個隱藏的專案,先來看看解壓出來的那個名為“截圖.bmp”檔案,也就是病毒作者的第二個小心思。從上一張截圖裡面也可以看到,解壓軟體不單單不管你是不是隱藏的,連你的副檔名也會一五一十地如實顯示出來。這個名為“截圖.bmp”檔案,其實就是一個Windows快捷方式檔案(.lnk)。好,現在重點來了,大家可以回顧一下本篇博文的第二張截圖,也就是檔案在Windows檔案管理器中的樣子(或者看下面這張圖):


       儘管我已經盡我所能,在設定上做足了工作,但是“截圖.bmp”這個檔案的字尾依舊頑強地顯示為.bmp而不是.lnk。唯有從檔案圖示左下角的小箭頭,以及後面的檔案型別上,才能夠知道它是一個快捷方式,真的連我都差點上當了。因此,“顯示詳細資訊”這個設定還是非常有必要的:


       好,那麼既然已經知道“截圖.bmp”是快捷方式,那麼接下來就應該看看它想要啟動的究竟是哪個檔案,揪出幕後真凶。“截圖.bmp”的內容如下:


       或者調整為Unicode形式顯示,能更加清晰一些:


       可以明顯看出來,這個快捷方式實際上是利用Windows自帶的rundll32.exe這個程式來執行dat目錄中的reg.dll這個檔案。這也正應了我在上一篇文章中所說的——“白加黑”惡意程式(們)不可能單獨放出來一個.dll檔案,還需要包含有至少一個.exe程式(或指令碼程式等)來啟用.dll檔案。結合這次的惡意程式來看,這個團伙所使用的就是.lnk檔案作為啟用工具。也許當初編寫rundll32.exe程式的微軟工程師,也沒想過有朝一日會被惡意利用吧。

       當然了,找出這次的.dll程式還是比較簡單的,一眼就看出來了。如果.lnk程式寫得很亂,.dll程式的名稱寫得很奇葩,不容易發現,那該怎麼辦呢?其實也簡單,假設已經確定惡意.dll檔案就是由Windows自帶的rundll32.exe這個程式啟動的,那麼我們可以在虛擬機器裡面裝一個監控軟體,比如我這次使用的是“火絨劍”,在監控條件中專門監控“rundll32.exe”這個程序,開啟監控再執行“截圖.bmp”,就能看到如下監控結果:


       可以看到,按照呼叫順序,首先是dat目錄中的Reg.dll被呼叫了,接下來呼叫的是HD_Comm.dll,位於“信譽新價格”的根目錄。然後是dat目錄中的TenioDL_core.dll以及Au.exe。那麼我們接下來的詳細分析,就可以按照這幾個檔案的呼叫順序來進行了。

       然後再看一下程序情況:


       比較奇怪的是,這裡多出了兩個QQ遊戲的程序。由於我的虛擬機器是專門做病毒測試用的非常純潔的系統,因此這兩個程序很明顯就是這次所研究的犯罪團伙搞的鬼了。還裝模作樣地新建了“Tencent”以及“QQGAME”這兩個資料夾。目前還不知道惡意程式為什麼要釋放這樣的一個檔案,不妨先記住,等詳細分析的時候再找出原因。另外,程序列表中還出現了一個叫做dllhost.exe的程序,按照我上一篇博文的說法,你叫什麼名字,我確實管不著,但是你把你的名字起得和微軟系統中的檔案一樣,那我可就要較真了,更何況你在WINDOWS目錄中自作主張,新建了一個limit的目錄作為你的容身之所,因此十有八九你就是一個有問題的程式了。而開啟這個limit目錄,可以看到這個犯罪團伙的好幾個成員:


       那麼一會就要拿你們幾個挨個開刀了。

       最後,這個團伙做得最講良心的一件事就是,還真的彈出來一個價格表:


       想想也是,假設大家點開了“截圖.bmp”但是卻啥也沒有,那必然是要起疑心的(儘管已經來不及了),而這個最新報價正好就可以打消大家最後的疑慮,使得惡意程式長期且穩定地執行在受害者的電腦裡,瘋狂地窺探隱私了。

       至此,關於這個團伙的基本資訊就已經收集完畢了,那麼我們接下來的詳細分析,就會順著我們之前的發現來展開了。