神马文学网玩病毒于骨掌之间教学之二 病毒分析工具介绍
来源:百度文库 编辑:神马文学网 时间:2024/04/29 19:22:37
病毒分析实例(zotob.a)
我们分析的zotob.a是前段时间爆发的狙击波蠕虫病毒,在欧美国家造成了一定的损失,此病毒也是利用系统漏洞传播,由于各反病毒厂商有了对付冲击波的经验,此次病毒的爆发周期及控制周期都相对缩短,这也从侧面反应出病毒编制作者及反病毒工作者在“矛与盾”的较量中技术水平都有了明显的提高。
1,首先,为了分析病毒,我们首先要开启虚拟机环境,并启动我们的跟踪监控组件,Tiny Software的Activity Monitor。(图1)
图1 启动Tiny的Active Monitor
2,运行病毒样本zotob.exe,此时Active Monitor会弹出跟踪界面,我们选择相应的Track'n Reverse(TM)选项,允许病毒的运行。(图2)
图2 追踪界面选择
3,此时,病毒运行在虚拟系统中,Tiny跟踪到病毒进程要建立远程TCP/UDP连接。(图3)
(图3) TCP连接建立
注册表相关信息改动
病毒建立/修改文件
TCP/UDP连接
病毒分析报告
上文我们已经通过跟踪监控程序拿到了病毒的相关修改信息,由于专业的反病毒厂商发布的病毒分析报告都具有一定的格式,清晰的条理性介绍可以使客户更好的掌握相关病毒的详细信息,我们把这些信息大体整理如下(以zotob.a为例):
病毒名称:利用漏洞传播的蠕虫Win32.Zotob.A
其它名称:Net-Worm.Win32.Mytob.cd (Kaspersky), Worm:Win32/Zotob.A (Microsoft), W32.Zotob.A (Symantec), WORM_ZOTOB.A (Trend) , Win32/Zotob.A!Worm , W32/Zotob.worm (McAfee), W32/Zotob-A (Sophos) (关于其他名称的确定可安装不同杀毒软件扫描或去多引擎病毒扫描服务确定)
病毒属性:蠕虫病毒
危害性:中等危害(依具体情况确定)
流行程度:高(依感染节点数目确定)
具体介绍:
病毒特性:
Win32.Zotob.A是一种通过Microsoft Windows Plug and Play service 缓冲器溢出漏洞 (MS05-039)进行传播的蠕虫。蠕虫作为一个IRC控制后门,允许未经授权的进入被感染的机器。蠕虫是大小为22,598字节,以Upack格式加壳的Win32 可运行程序。(以上内容依照经验编写确认,关于加壳将在下章说明)
感染方式:
蠕虫复制botzor.exe到%System%目录,并修改以下注册表,使得这个副本可以在每次系统启动时运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM = "botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM = "\botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WINDOWS SYSTEM = "botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WINDOWS SYSTEM = "\botzor.exe"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
传播方式 :
通过漏洞传播
为了进行传播,蠕虫尝试攻击Microsoft Windows Plug and Play service 缓冲器溢出漏洞。蠕虫在主机所在地址中列举B类地址作为潜在目标,通过445端口查找存在漏洞的系统。
可以通过以下站点下载相关的微软的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx(提示用户更新系统漏洞)
危害
修改Hosts文件(打开Hosts文件确认内容)
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
蠕虫修改%System%\drivers\etc\hosts文件,限制访问以下站点:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
www.virustotal.com
virustotal.com
www.amazon.com
www.amazon.co.uk
www.amazon.ca
www.amazon.fr
www.paypal.com
paypal.com
moneybookers.com
www.moneybookers.com
www.ebay.com
ebay.com
后门功能
蠕虫可以利用IRC控制后门,允许远程用户未经允许的进入被感染的机器。
蠕虫连接IRC服务器,并加入特定的信道,等到指令。蠕虫接受指令在被感染机器上执行以下操作:
§ 下载文件
§ 为远程控制者提供系统运行时间信息
§ 提供被感染机器的Windows 版本,RAM 和 CPU 信息
§ 降低 IE 安全设置并加载网页
§ 移动蠕虫
以上是关于zotob.exe蠕虫病毒的分析及总结,其实病毒分析并非大多数人所认为的那么神秘,这项工作主要需要一定的耐心和时间,特别是对于紧急病毒样本的获取要具备天生的敏感,分析过程也相应地更具紧迫感。这种分析方法要求分析人员掌握系统注册表知识,熟悉系统服务及端口,但这些是仅仅不够的,对于更加复杂的病毒分析,就需要用到反汇编的分析方法。
我们分析的zotob.a是前段时间爆发的狙击波蠕虫病毒,在欧美国家造成了一定的损失,此病毒也是利用系统漏洞传播,由于各反病毒厂商有了对付冲击波的经验,此次病毒的爆发周期及控制周期都相对缩短,这也从侧面反应出病毒编制作者及反病毒工作者在“矛与盾”的较量中技术水平都有了明显的提高。
1,首先,为了分析病毒,我们首先要开启虚拟机环境,并启动我们的跟踪监控组件,Tiny Software的Activity Monitor。(图1)
图1 启动Tiny的Active Monitor
2,运行病毒样本zotob.exe,此时Active Monitor会弹出跟踪界面,我们选择相应的Track'n Reverse(TM)选项,允许病毒的运行。(图2)
图2 追踪界面选择
3,此时,病毒运行在虚拟系统中,Tiny跟踪到病毒进程要建立远程TCP/UDP连接。(图3)
(图3) TCP连接建立
注册表相关信息改动
病毒建立/修改文件
TCP/UDP连接
病毒分析报告
上文我们已经通过跟踪监控程序拿到了病毒的相关修改信息,由于专业的反病毒厂商发布的病毒分析报告都具有一定的格式,清晰的条理性介绍可以使客户更好的掌握相关病毒的详细信息,我们把这些信息大体整理如下(以zotob.a为例):
病毒名称:利用漏洞传播的蠕虫Win32.Zotob.A
其它名称:Net-Worm.Win32.Mytob.cd (Kaspersky), Worm:Win32/Zotob.A (Microsoft), W32.Zotob.A (Symantec), WORM_ZOTOB.A (Trend) , Win32/Zotob.A!Worm , W32/Zotob.worm (McAfee), W32/Zotob-A (Sophos) (关于其他名称的确定可安装不同杀毒软件扫描或去多引擎病毒扫描服务确定)
病毒属性:蠕虫病毒
危害性:中等危害(依具体情况确定)
流行程度:高(依感染节点数目确定)
具体介绍:
病毒特性:
Win32.Zotob.A是一种通过Microsoft Windows Plug and Play service 缓冲器溢出漏洞 (MS05-039)进行传播的蠕虫。蠕虫作为一个IRC控制后门,允许未经授权的进入被感染的机器。蠕虫是大小为22,598字节,以Upack格式加壳的Win32 可运行程序。(以上内容依照经验编写确认,关于加壳将在下章说明)
感染方式:
蠕虫复制botzor.exe到%System%目录,并修改以下注册表,使得这个副本可以在每次系统启动时运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM = "botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM = "\botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WINDOWS SYSTEM = "botzor.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WINDOWS SYSTEM = "\botzor.exe"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
传播方式 :
通过漏洞传播
为了进行传播,蠕虫尝试攻击Microsoft Windows Plug and Play service 缓冲器溢出漏洞。蠕虫在主机所在地址中列举B类地址作为潜在目标,通过445端口查找存在漏洞的系统。
可以通过以下站点下载相关的微软的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx(提示用户更新系统漏洞)
危害
修改Hosts文件(打开Hosts文件确认内容)
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
蠕虫修改%System%\drivers\etc\hosts文件,限制访问以下站点:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
www.virustotal.com
virustotal.com
www.amazon.com
www.amazon.co.uk
www.amazon.ca
www.amazon.fr
www.paypal.com
paypal.com
moneybookers.com
www.moneybookers.com
www.ebay.com
ebay.com
后门功能
蠕虫可以利用IRC控制后门,允许远程用户未经允许的进入被感染的机器。
蠕虫连接IRC服务器,并加入特定的信道,等到指令。蠕虫接受指令在被感染机器上执行以下操作:
§ 下载文件
§ 为远程控制者提供系统运行时间信息
§ 提供被感染机器的Windows 版本,RAM 和 CPU 信息
§ 降低 IE 安全设置并加载网页
§ 移动蠕虫
以上是关于zotob.exe蠕虫病毒的分析及总结,其实病毒分析并非大多数人所认为的那么神秘,这项工作主要需要一定的耐心和时间,特别是对于紧急病毒样本的获取要具备天生的敏感,分析过程也相应地更具紧迫感。这种分析方法要求分析人员掌握系统注册表知识,熟悉系统服务及端口,但这些是仅仅不够的,对于更加复杂的病毒分析,就需要用到反汇编的分析方法。
玩病毒于骨掌之间教学之二 病毒分析工具介绍
手机“病毒”分析
Autorun病毒清理及免疫工具1
【玩转电脑】一招克死所有病毒!
【玩转电脑】一招克死所有病毒!
病毒的基本特性(续二)
病毒的基本特性(续二)
病毒、蠕虫与木马三者之间的区别
U盘病毒专杀工具-USBCleanerV5.0正式版
半手工"清除"病毒木马实战 - 木马专杀工具
光华流行病毒清除工具 1.0 Build 0901
U盘病毒专杀工具-USBCLeaner官方网站
“暴风一号”U盘病毒最新查杀工具
反病毒20年之重要计算机病毒
email worm.win32病毒的专杀介绍--virus kill
taskmgr.exe系统进程及相关病毒介绍
病毒清除
一招克死病毒
ARP病毒
一招克死病毒
Rootkit病毒
CIH病毒
手机病毒
病毒营销