鬼影7病毒详细分析(III)–RING3服务分析

2014-09-25 8,815

 SP小编:

《鬼影7病毒详细分析系列》是SecPulse安全脉搏认证作者sev7n原创的3连载,前2篇戳这里:

鬼影7病毒详细分析(I)

鬼影7病毒详细分析(II)–驱动篇

Poweliks_malware-660x330

一、主要行为:

1.       服务病毒首先判断自身文件名sfc_os.dll,然后设置全局变量通知外壳病毒已安装服务,然后根据系统判断病毒是否注入到svchost.exe winlogon.exe两个进程,如果是,就创建线程写管道通知外壳病毒自删除。

2.       之后病毒会创建多个线程完成任务:i)向自已所释放的驱动发送通知,结束nod32krn.exe进程;ii)感染MBR;iii) 下载其它病毒执行。下载地址为:tj.tea220.com  端口:8001.

 

二、详细分析:

病毒入口点,此病毒文件是DLL程序,该入口表示,当启动病毒所注入的进程时执行病毒功能。

s2

病毒判断自身文件名是否是sfc_os.dll,如是通知外壳服务程序已安装成功。然后判断自已所注入的进程名是否是svchost.exe ,winlogon.exe,判断失败,结束运行。

s3

病毒等待管首是否创建成功,如成功,病毒刚创建线程向管道写入数据,通知父病毒删除自身。

s4

新线程向管道写入数据。

s5

病毒循环判断Guntior驱动是否加载成功,等待一分钟之后还未加载成功,服务则自已释放驱动文件并加载。

s6

病毒创建新线程,向底层驱动通知结束nod32krn.exe进程。s7

病毒同时会创建新线程监视并感染系统MBR数据。

s8

病毒判断tj.tea220.com是否连接成功,连接成功,则创建线程执行下载功能。

s9

s10

 

病毒构造数据包,连接tj.tea220.com网址,并下载a.txt,并从中解密读取数据,该数据用来构造病毒下载执行的文件名,同时文件名也有随机字串。

下载地址:th.tea220.com

下载端口:1F41 =8001

s11

病毒解密已读取的数据。

s12

s13

病毒构造新的URL地址。上图第一幅为加密的URL参数,而第二幅为加密后的URL能数。

s14

病毒从以上构造的URL地址下载其它PE病毒,并用当前登陆用户身份创建进程。

 

3篇系列结束

鬼影7样本下载:http://pan.baidu.com/s/1o6qhIVS

更新:

http://pan.baidu.com/s/1qW6uwLe
或者
http://pan.baidu.com/s/1pJp128j  (解压密码为:www.secpulse.com)

              原创作者:sev7n

SP地址:http://www.secpulse.com/archives/673.html

 

 

 

本文作者:sev7n

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/673.html

Tags:
评论  (6)
快来写下你的想法吧!

sev7n

文章数:5 积分: 2

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号