国内资深黑客浅谈恶意代码的研究分析
2008-06-05 16:48:23 来源:WEB开发网协议:TCP
域名或IP地址:www.163.com (202.108.9.34)
端口:80
对目标主机的操作:通过QQ代理进行访问www.cache.split.netease.com
协议:TCP
域名或IP地址:www.sohu.com (61.135.188.65)
端口:80
对目标主机的操作:通过QQ代理进行访问www.pagegrp7.a.sohu.com
协议:TCP
域名或IP地址:www.google.com (64.233.189.99)
端口:80
对目标主机的操作:通过QQ代理进行访问www-china.l.google.com
……
病毒感染后,带有QQ尾巴的功能,能通过QQ代理访问上述网址。
◆通过静态分析调式,进一步分析病毒的一些特征行为。样本中病毒释放后,病毒体为spo0lsv.exe文件,因此需要对此病毒做壳的侦查及脱壳工作(略过)。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本,如下图所示:
通过观察“strings”窗口,可以初步分析样本的一些情况。如可以看出样本是用Delphi语言编写的等等。通过观察“Imports”窗口中的API函数,可以看到系统调过了一些网络行为的API函数,如InternetOpenUrlA、InternetOpenA、URLDownloadToFileA等函数。结合反汇编代码分析,可以看出病毒会关闭的杀毒软件有VirusScan、NOD32、Symanter AntiVirus、Duba、System Safety Monitor、Wrapped gift Killer、游戏木马检测大师、超级巡警、IcdSword等等。病毒会删除系统的共享文件:
cmd.exe /c net share
$ /del /y
cmd.exe /c net share admin$ /del /y
遍历盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的形式将病毒原文件删除。
◆通过动态分析调式,使用OllyDBG工具进行调式,进一步分析样本的操作行为。通过跟踪调式,发现样本可以使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行,样本中带有下载病毒文件的地址,但在程序中没有激活,所以没有真正下载的动作。本病毒包含原来的熊猫烧香病毒的特征以及金猪报喜的特征。
最后要把分析过程中的结果形成相关的恶意代码分析报告,收集恶意代码的样本、释放的文件、以及网络行为的数据包,并对恶意代码进行命名规范,而且还需要对样本使用MD5进行完整性校验。
本文主要说明恶意代码及其相关的分析研究流程,至于通过逆向工具具体分析恶意代码的操作实验步骤,叶子将在以后的文章中做进一步的介绍。
赞助商链接