文件: flash_player.exe
语言: Unknown
类型: TR/Injector
MD5: 350345935E249E1EE9B0BC87A673E955
加壳: Unknown Encryptor
大小: 99,840 字节
时间: 2010-7-16 19:48:39
本文来自www.sacour.cn  转载保留此行

这几天文章太水了,我稍微认真点了..(程序见昨天的列表,相关文章见http://www.sacour.cn/post/415.html

脱壳:Sandboxie中OD未能成功停在入口处,VitrualBox中OpenEventA处飞掉了,所以实机调试。

实机:
一开头就一大堆OpenEventA,全都是无效调用,不过不知道怎么回事在VBox里面这儿却飞掉了(里面一个Ansi转Unicode字串的函数飞掉了),然后程序加载DPNHUPNP.DLL,试图读取DllGetClassObject函数的地址,再通过DllGetClassObject加载ANQ9n3nc7EBuOqyK,作者乱打的名字,挂掉了,返回值是 0x80040111 (CLASS_E_CLASSNOTAVAILABLE),然后程序把eax(0x80040111)移到ebp-8处,不过后面好像也没用到,估计又是在折腾着玩。

然后程序进入一个循环,一直加值,直到GetFileType的返回值不是零(FILE_TYPE_UNKNOWN=00 00 00 00),反正后面也没用到,这儿不是零时的返回值是 FILE_TYPE_DISK(00 00 00 01)。之后程序分配0x122f2字节的虚拟内存,在里面进行最后的挣扎,出来就到OEP了。

OEP地址401E55,(后面的无效动作不说了),程序先获取环境变量%ALLUSERPROFILE%的值,然后用StrStrIW比较自身路径里面是否有“kasper_zaebal.exe”(<- kasper(sky)卡住了- -?),存在则检测是否有"-wait"参数,如果有就休眠60秒,然后建立一个线程,会遍历进程并注入特定的进程。
不存在则程序使用SetSecurityDescriptorDacl修改文件存取权限,然后建立文件夹%ALLUSERPROFILE%\Media,并组合、写入%ALLUSERPROFILE%\Media\rdb.bat,内容为(我转成全角了):


cd C:\Documents and Settings\All Users.WINDOWS\Media\
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v AModule /t REG_EXPAND_SZ /d %%ALLUSERSPROFILE%%\Media\kasper_zaebal.exe

echo>"kasper_zaebal.exe:Zone.Identifier"



不过明显的作者忘了加echo y|了……他不加这个的话,如果病毒被执行了2次以上的话,到这儿就会有提示……

C:\>cd C:\Documents and Settings\All Users.WINDOWS\Media\

C:\Documents and Settings\All Users.WINDOWS\Media>REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v AModule /t REG_EXPAND_SZ /d %ALLUSERSPROFILE%\Media\kasper_zaebal.exe
Value AModule exists, overwrite(Y/N)?


所以正解应为(当我没说……):

cd C:\Documents and Settings\All Users.WINDOWS\Media\
ECHO Y|REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v AModule /t REG_EXPAND_SZ /d %%ALLUSERSPROFILE%%\Media\kasper_zaebal.exe

echo>"kasper_zaebal.exe:Zone.Identifier"

然后程序试图修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA ====> 00 00 00 01,用途即在win7中关闭UAC(用户存取控制) 。

之后程序将自己复制到%ALLUSERPROFILE%\Media\kasper_zaebal.exe后执行rdb.bat,然后调用ShellExecuteW打开网站hxxp://www.redtube.eu/(想栽赃吗……)

清理方式:
1. 结束进程kasper_zaebal.exe
2. 删除启动项 AModule
3. 删除文件夹%ALLUSERPROFILE%\Media