对SysAnti.exe病毒的简单分析

周一在2号实验楼323嵌入式实验室用U盘时发现有病毒,重启后发现刚启动时电脑就有病毒,看来还原卡没起作用。一时兴起打包了病毒文件回来研究下。

病毒文件名:SysAnti.exe
文件大小:52.5KB
MD5:4B160901566108C6F89F21444CE503E7

PEID查壳信息:

PEID显示是ASPack壳,这一款兼容性良好的老牌壳。不过估计用工具脱不了,OD载入时出错,看来经过特意加密防止反编译。我也懒得深入研究壳了,直接丢入虚拟机的XP,创建快照。打开Procmon和Total Uninstall监视,然后运行。

先分析Total Uninstall下直观的文件和注册表修改情况:

文件修改:

1.在C:\windows\Fonts目录下创建cjavv.fon和fprij.fon文件,从文件名上分析可能是随机文件名。

2.与实验室看到的不同,病毒在C:\windows\system32目录下创建了SysAnti.exe文件,而不是实验室的C:\Program Files\Common File目录。

3.修改了C:\windows\system32\drivers\etc目录下的hosts文件,将主流杀软网站指向本地127.0.0.1地址,以阻止用户访问。

4.在所有磁盘创建了SysAnti.exe和AutoRun.inf文件(老掉牙的自动运行传播方式)

其AutoRun.inf文件内容如下:

比较有意思的是这个病毒会检测并关闭打开的记事本,不让我看这个文件内容。不过写的不错,在鼠标右键伪造了“打开”和“资源管理器”选项以混淆用户。

文件修改暂时就这么多,不过Total Uninstall是静态监视器,呆会还要看Procmon动态记录的信息。

注册表修改:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run,

“SysAnti”=”C:\windows\System32\SysAnti.exe”

这是建立自动运行。需要特别指出的是,这个路径下建立的自启动是不会显示在(msconfig)系统配置实用程序下的。

奇怪的是而在IceSword下也看不到,不过XueTr下可以看到启动项。

或者在组策略编辑器(gprdit.msc)的“登陆时运行这些程序”里也可以看到,也算是一种比较隐蔽的方式了。

然后是映像劫持,病毒在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options 下建立了以下键值:

360hotfix.exe,360rpt.exe,360Safe.exe,360safebox.exe,360tray.exe,adam.exe,AgentSvr.exe,AntiArp.exe,AppSvc32.exe,arvmon.exe,AutoGuarder.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,findt2005.exe,FTCleanerShell.exe,HijackThis.exe,IceSword.exe,iparmo.exe,Iparmor.exe,IsHelp.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,killhidepid.exe,KISLnchr.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,kvfw.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KvXP_1.kxp,KWatch.exe,KWatch9x.exe,KWatchX.exe,LiveUpdate360.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,nod32krn.exe,nod32kui.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavCopy.exe,RavMon.exe,RavMonD.exe,RavStore.exe,RavStub.exe,ravt08.exe,RavTask.exe,RegClean.exe,RegEx.exe,rfwcfg.exe,RfwMain.exe,rfwolusr.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,RsMain.exe,rsnetsvr.exe,RSTray.exe,runiep.exe,safebank.exe,safeboxTray.exe,safelive.exe,scan32.exe,ScanFrm.exe,shcfg32.exe,smartassistant.exe,SmartUp.exe,SREng.exe,SREngPS.exe,symlcsvc.exe,syscheck.exe,Syscheck2.exe,SysSafe.exe,ToolsUp.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,zxsweep.exe

看来作者真费了一番苦心啊,收集了所有主流杀软和主流检测工具的文件名啊。不过映像劫持也很好破解,把打不开的杀软重命名就好了。

注册表修改基本就是这些,不过Total Uninstall只是简单的运行前后对比而已。

下来再看看Procmon的日志吧。

果然和Total Uninstall就不一样了,首先可以看到病毒加载了C:\windows\system32\ntdll.dll,这是NT系统的一个重要模块。顺带说一句,“臭名昭著”的strcpy就是在这里定义的….

在我截图的过程中发现所有带有SysAnti字样和带有Auorun字样的窗口都会被强制关闭,另外含有主流杀软名字的窗口也会被强制关闭。所以中毒电脑会被阻止通过搜索引擎查找相关资料。而新加入的可移动磁盘也会被建立SysAnti.exe和AutoRun.inf文件,以通过U盘等传播。不过没有发现病毒开启的端口,暂时看来不是木马什么的。

继续看日志,SysAnti.exe接着查询了映像劫持中有没有自己,发现没有后加载 C:\windows\system32\kernel32.dll,user32.dll等等诸多的dll运行库。运行rundll32.exe等等…..咦,TCP连接202.171.253.108,开始网络操作了,因为是虚拟机,我也没有安装任何的第三方防火墙,而windows自带的可以直接忽略….所以也没有发现连接对象。Procmon的记录很琐碎,大致就是这些,主要还是对注册表的一些操作,涉及到驱动什么的。

简单分析就到这里吧,下面检测下动态状况。

打开IceSword,额…那个名为IceSword的文件夹被瞬间关闭, IceSword也打不开…哦,对了,映像劫持。给IceSword改名后顺利打开并且正常运行了。奇怪,在进程中并未发现可疑的,难道是注入到某个系统进程了?或者是服务级别的?更有甚者,ring0级别把自己隐藏了?

先奔着最坏的可能去,嗯….内核模块没发现异常,服务和设备也没有增加。看来可以初步锁定为进程插入型了,至于这个到底是病毒还是木马现在还不好说。

虚拟机运行的XP本来就很干净,简单看了下进程,怀疑对象锁定在了explorer.exe和svchost.exe上。打开模块信息…..太多了,加载的模块都有好几十。为了检测起来容易些,重启虚拟机进入安全模式吧。在实验室我已经确认了病毒竟然能顺利运行在安全模式下。

不对….无法进入安全模式了….这个文件是我在实验室直接打包带回来的样品啊…目前搞不清楚状况了。

没办法,直接正常启动吧,先不修复安全模式了。运行Procmon,监视所有线程操作,嘿嘿,果然发现了幕后黑手svchost.exe,PID为704。咦,这个svchost.exe竟然是以administrator运行的,看来自己是大意了,连这么明显的破绽都没看到啊。

看来病毒是注入到svchost.exe进程里了,果断用IceSword查找svchost.exe的模块,比对后果然发现了问题。

先试试直接结束PID为704的svchost.exe吧,嗯…可以结束,看来不是双进程保护的。删除了C盘下的SysAnti.exe和AutoRun.inf文件,也没有被重建了。

清除所有病毒文件和注册表项目后重启,再没有发现病毒痕迹。

P.S.监视了这个病毒很长一段时间,日志里没有发现它对其余文件的操作和键盘记录之类,也不知道是不是需要某些特定情景的触发。总之,手工清除并不复杂…

时间: 2016-03-31

对SysAnti.exe病毒的简单分析的相关文章

流氓软件ErrorSafe的简单分析清除方法与其他_病毒查杀

这里就简单描述ErrorSafe的分析和应对办法,目前,我这里只能找到两个版本,一个是1.0.22.4,另外一个是1.2.120.1,后者经升级应该是最新版本了,颠倒一下,先给出结论,并列举防范措施,最后是简单分析 结论和推广方式 1.从版本上来看,老版本的ErrorSafe还添加了服务等,而最新版本则是很简单的只添加自启动项,新版本更容易被清除 2.从程序上来看,该软件之所以被国际称为恶意软件,主要是指它的流氓推广方式及其恶劣,犯了众怒,才被人人喊打 由于该程序本身并无流氓特征,其流氓性主要体

最简单的rundll2000.exe病毒完美解决方法_病毒查杀

关于rundll2000.exe,也不知道是一个什么的病毒.在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服.机子是我们的...可不想有不速之客来寄居  rundll2000.exe病毒手动清除 重启电脑,进入安全模式(电脑启动时按F8键) 删除以下文件: C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewI

TXP1atform.exe病毒是什么

  病理分析 TXP1atform.exe病毒会在c:windowssystem32drivers下建立TXP1atform.exe,在所有的根目录下建立.exe和autorun.inf,在系统分区外的所有文件夹中建立desktop_1.ini(乃至desktop_2._3),感染扩展名为exe.htm的文件,修改.删除.增加了几百处注册表键值,也可能在c:documents and settings下的一些文件夹中建立不少文件 解决办法及步骤 单纯的重装系统,虽然系统盘得到了净化,而其它驱动器

对新型无文件后门 JS_POWMET 的简单分析

本文讲的是对新型无文件后门 JS_POWMET 的简单分析, 由于高明的网络犯罪分子会在不留下痕迹的情况下进行攻击,因此不留痕迹的恶意软件将成为未来最常见的攻击方法,而且这种苗头已经开始显现了.比如,今年6月,安全研究人员就发现了一个新的无文件勒索病毒, 被称为"Sorebrect",它将恶意代码注入到目标系统的合法进程svchost.exe中, 然后自毁以躲避检测. 然而,许多所谓的无文件恶意攻击只是在进入用户系统时才是无文件的,而在最终执行其有效载荷时还是会暴露自己,所以要想使用完

破解“蘑菇”病毒很简单!

下面的文章主要介绍的是"蘑菇"病毒的正确解决方案,该病毒在各 磁盘创建了Autorun.inf, 所以双击盘符后, 就会自动的运行病毒程序.在病毒运行 时,直接删除会失败.建议使用金山清理专家,浏览到这些文件,将其彻底删除.病毒现象:各磁盘发区发现图标为蘑菇的病毒文件,运行时该程序的标题栏显示为金山网镖.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' height="209" al

如何杀rose.exe病毒

rose.exe病毒的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的"打开"变成了"自动播放",然后在你的系统进程里面会出现若干个"rose"的进程,占用电脑的CPU资源. 传播方式:通过U盘.MP3 .移动硬盘等移动存储设备传播,一般表现为移动存储设备内东西无法剪切.移动存储设备无法移出等,尤其在公用电脑上表现极为明显,传播极为迅速. 病毒危害: 1.在系统中占用大量cpu资源. 2.在每个分区下建立rose.exe 和autor

如何清除cmd.exe病毒

  cmd.exe是比较常用的一个命令,通常用它来调出DOS程序.cmd.exe病毒就比较难缠了,感染了cmd.exe病毒的电脑的表现情况时,工作站启动时系统自动运行Cmd.exe,工作站进不了桌面.或者工作站重建后启动到系统设置那里一直"没完没了地敲鼓".遇到这样的状况我们该如何去处理呢? 一.网吧系统:重启服务器,工作站不开机,下载rundll32.exe和rundll.exe,分别复制到D:WXP目录和d:wxpsystem目录下.然后将d:wxpsystem目录下的rundll

一款勒索病毒的详细分析

原文出自看雪论坛:[原创]一款勒索病毒的详细分析-『软件逆向』-看雪安全论坛 0×01 程序信息 大小:2,132,992 字节 MD5:671ec2f2b246113f65a0afd1c53c5c3b 壳:UPX 0.89.6 - 1.02 / 1.05 - 2.90 编写语言:易语言 0×02 程序行为 开机自启 修改浏览器信息 禁用UAC 进程检测 加密文件 发送数据到指定邮箱 0×03 运行截图 0×04 脱壳去花指令 采用UPX加壳,通过ESP定律脱壳 脱壳后: 从入口特征判断为VC+

sxs.exe病毒及清理办法手工杀度详解_病毒查杀

许多朋友都是通过移动盘拷贝东西时被感染的,特别是U盘,特别是在网吧,当你拷完东西是,利用DOS进入你的移动盘dir/a显示所有文件,如果发现中招,有sxs.exe和autorun.inf那么在非根目录下建立一个记事本,命名为sxs.exe建立一个autorun.inf内容可以为空,也可以添加[autorun]shutdown=sxs.exe将移动盘的sxs.exe和autorun.inf替换.回家就不会被感染了 我中的很奇怪,好不容易用卡巴斯基查出来D和E根目录下有这个东西,而且四五还有其他的木