病毒背景
簡介:Win32.PSWTroj.QQPass�����,名為:【QQ偽裝盜號者】是一種QQ盜號木馬�����,它會注入用戶電腦的系統進程中運行��,盜取病毒作者指定的帳號和密碼以及其號碼的其他信息。
參考鏈接:https://baike.sogou.com/v126222.htm
樣本分析
病毒主程序樣本名字是servere.exe,雙擊他就會開始感染
開啟監控
用到兩款工具����,主要還是D盾的監控文件比較好用
1.MyMonitor
工具鏈接分享:
https://pan.baidu.com/s/1RKOR_LvfNX8QqEyJaDFq1Q?pwd=azwh
2.D盾
工具鏈接分享:
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
MyMonitor打開即可���,待會感染病毒需要將程序拖進去運行監控����,然后將D盾監控文件夾�����,監控c盤和d盤�,但是d盾只能一次監控一個文件夾��,這里我就主要監控c盤�,最后才補上監控d盤的操作�����。
感染病毒
D盾監控c盤功能打開后,就將程序文件拖進MyMonitor
等待程序運行推出即可看到報告�,然后D盾也能看到具體操作了哪些文件
分析病毒行為
因為D盾一次只能監控一個盤符�,所以分兩次進行監控����。我們使用虛擬機可以還原快照,所以多次監控也不算很麻煩�,如果各位道友有發現更好的監控文件工具還請留言~
C盤文件監控
MyMonitor簡單看下就行���,我感覺分類的不是很好��,確實能看到操作,但是不能分類而且有的行為沒有檢測到�,所以下面就圍繞D盾來查看病毒到底做了些什么事情��。
最明顯就是創建了四個文件(看異常的主要的就行,像log后綴哪種日志可以忽略)
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
往下看還有創建了dll文件����,在這中間其實還有很多重復創建操作�,這個我理解為病毒是為了防止程序沒有創建成功所以多次創建得原因����,病毒就這么寫的。
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
往下看有一個動作是刪除host文件然后創建了hosts文件����,這個可以記錄下來���,后面需要去確認一下他對hosts文件做了什么手腳�����,一般可能是對域名進行ip替換之類的
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
這里我雙擊d盤后創建了hx1.bat文件�,具體行為是:設置系統時間為2004-1-22����,因為后面有一個刪除操作���,文件不存在了就不找了�,但是需要人為將時間設置回來。
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22�����,記得修改回來正確時間
D盤文件監控
將虛擬機恢復快照���,重新開啟d盾監控d盤�����,然后重新感染一遍病毒�,這里看監控結果就一目了然
1.創建d:\oso.exe
2.創建d:\autorun.inf
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22��,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
這里省略將所有exe文件還有dll文件丟到沙箱上查一下�����,這里就放jwbnlb.exe沙箱運行的結果。
進程監控排查
打開我們的老朋友PChunter
工具鏈接:
https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb\
找到servere.exe進程�,因為我們是雙擊這個程序感染的���,當然也發現了病毒創建惡意程序文件qvkwjh.exe�����、conime.exe當做進程運行起來了。
接著右鍵查看進程模塊也發現了調用qvkwjh.dll模塊\
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22�,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe�、qvkwjh.exe�、conime.exe
服務排查
查惡意進程對應的服務��,都沒有發現有對應服務
tasklist /svc | findstr "PID"
當然也要排查一下看有沒有其他可疑的服務��,著重看沒有廠商簽名的,這里就沒發現有其他異常。
啟動項排查
著重看沒有廠商簽名的啟動項����,果然發現三個異常的��,而且還是對應了惡意文件路徑的啟動項
這里我正打算打開系統自帶的注冊表查看啟動項相關信息且對其進行刪除對應的值的時候,發現打不開
嘗試win+r調出命令也不行,打不開
這里就意識到時中了映像劫持了:↓↓
解釋:就是Image File Execution Options(其實應該稱為“Image Hijack”。)是為一些在默認系統環境中運行時可能引發錯誤的程序執行體提供特殊的環境設定����。但是病毒可以故意將其一些常見的程序打開指向文件為不存在的或者自己指定的另外一些惡意程序文件����,多次感染等等�����。舉例子:將360殺軟程序打開的動作指向了c:\windows\system32\servere.exe���,那么這樣不僅僅禁用了殺軟還反復感染病毒了���。
解決辦法:將沒有被禁用的程序輔助找到被禁用的程序文件���,修改其名字即可�,我這里就用文件搜索找到注冊表文件���,復制出來進行修改名字即可打開了。
打不開注冊表很明顯就是被禁了����,隨便修改名字就能打開了
當然也可以通過PCHunter內部打開注冊表,這里是不受影響的,因為沒有禁用PChunter�����,但是為了尊重病毒制作者(滑稽)��,還是要順著他的意思走一下坑�����。
打開注冊表后找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
就能發現這個目錄項下面都是被禁掉的軟件應用,指向的是:
C:\WINDOWS\system32\drivers\jwbnlb.exe
比如下圖中360safe.exe就被ban掉了,若電腦上有用360safe.exe那么雙擊運行就會出發jwbnlb.exe運行����,再次感染�����。(這個劫持挺不錯,就是動靜太大了)
映像劫持解決辦法:修改名字���,刪除注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中的被ban掉的目錄項,查殺的時候將所有目錄項刪除掉即可,因為不是系統自帶也不是人為創建的。
線索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe、qvkwjh.exe�、conime.exe
11.啟動項(啟動項對應注冊表)
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可
查殺
1.殺掉進程
使用PChunter勾選結束進程時候刪除文件��,那么就可以安心結束進程了,省掉手動找文件刪除
忘記刪除進程模塊了,可以找到對應文件下進行刪除�����,文件做了隱藏�����,所以還是需要通過PChunter找到文件刪除:c:\windows\system32\qvkwjh.dll
最好先勾選刪除后阻止文件再生���,然后再次右鍵文件進行強制刪除。
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22�,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe���、qvkwjh.exe�、conime.exe 已結束
11.啟動項(啟動項對應注冊表)
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可
2.異常服務
這三個異常服務都刪除即可���,Shell啟動項需要定位注冊表刪除��,這時候千萬不要直接打開系統的注冊表�,使用PChunter打開�,或者你自己搜索注冊表出來重命名再打開注冊表。
Shell啟動項刪除不掉���,那就定位到注冊表將其刪掉即可
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe��、qvkwjh.exe��、conime.exe 已結束
11.啟動項(啟動項對應注冊表) 已刪除
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可
3.映像劫持處理
上面已經講過了方法��,映像劫持解決辦法:修改名字,刪除注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中的被ban掉的目錄項�,查殺的時候將所有目錄項刪除掉即可�����,因為不是系統自帶也不是人為創建的。
我們的PChunter也能做��,還能批量刪除�,比直接通過注冊表一個個刪除方便,同時還提供刪除對應的程序文件����,刪除注冊表和對應的程序文件����。
這時候再win+r調出注冊表就可以正常打開了
再次解釋一下映像劫持的原理:通過在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 中添加對應的程序名字��,打開的時候就會優先通過這注冊表信息找到對應的程序路徑��,這里的程序路徑寫的是惡意程序文件,如果再次點擊就會再次感染一遍����。
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe 已刪除
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat設置系統時間為2004-1-22����,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe����、qvkwjh.exe、conime.exe 已結束
11.啟動項(啟動項對應注冊表) 已刪除
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可 已處理
4.hosts文件處理
正常文件夾中找不到該文件�����,被做了文件隱藏����,那么就通過PChunter操作
發現文件內容為:(意思是屏蔽下列殺軟等網站)
127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
解決辦法:拷貝出來,刪除文件�����,從其他機器上拷貝一份好的過來用即可
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe 已刪除
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts 已處理
7.hx1.bat設置系統時間為2004-1-22�����,記得修改回來正確時間
8.創建d:\oso.exe
9.創建d:\autorun.inf
10.三個惡意進程:servere.exe���、qvkwjh.exe、conime.exe 已結束
11.啟動項(啟動項對應注冊表) 已刪除
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可 已處理
5.D盤文件刪除
首先你要注意autorun.inf文件的存在,如果有的話就不要隨意雙擊盤符����,還是右鍵打開盤符最好�,很明顯有一個坑��, (不要學我)我這里先雙擊打開�����,然后查看進程你就會發現又感染了一遍病毒,所以一定要一定要謹慎一點,這個病毒還是比較狡猾的�����。
回到正題��,要刪除d盤下的文件����,你會發現都做了文件隱藏�����,所以還是繼續上工具�����。
刪除前打開autorun.inf查看你會發現還是老樣子,果然OSO.exe文件是感染文件,如果你雙擊的話就會執行OSO.exe文件再次感染
接著PChunter找到文件進行刪除即可
最后還剩下一個系統時間�����,這里就忽略了����,默認已經處理��。
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts 已處理
7.hx1.bat設置系統時間為2004-1-22�����,記得修改回來正確時間 已處理
8.創建d:\oso.exe 已刪除
9.創建d:\autorun.inf 已刪除
10.三個惡意進程:servere.exe���、qvkwjh.exe�����、conime.exe 已結束
11.啟動項(啟動項對應注冊表) 已刪除
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可 已處理
6.其他異常排查
以下均沒發現異常
- 異常連接排查(netstat -ano)
- 異常賬戶排查(net user、克隆賬戶、隱藏賬戶)
- 計劃任務
- 等等
重啟排查
跟著線索卡走一遍看有沒有再生文件,或者其他異常進程服務等等
線索卡:
1.c:\windows\system32\severe.exe 已刪除
2.c:\windows\system32\qvkwjh.exe 已刪除
3.c:\windows\system32\drivers\jwbnlb.exe 已刪除
4.c:\windows\system32\drivers\conime.exe 已刪除
5.c:\windows\system32\qvkwjh.dll 已刪除
6.修改了c:\windows\system32\drivers\etc\hosts 已處理
7.hx1.bat設置系統時間為2004-1-22,記得修改回來正確時間 已處理
8.創建d:\oso.exe 已刪除
9.創建d:\autorun.inf 已刪除
10.三個惡意進程:servere.exe、qvkwjh.exe����、conime.exe 已結束
11.啟動項(啟動項對應注冊表) 已刪除
11.映像劫持:找到注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 該目錄下的目錄項刪除即可 已處理
這里省略了入侵排查過程
1.賬號排查
2.查看服務
3.查看啟動項
4.查看計劃任務
5.網絡情況
6.進程排查
后續病毒沒有做更多的動作�,就是做了以上分析的操作�����,主要是為了盜取中毒的受害者的賬號密碼��,早期qq風靡全球,所以盜取qq號最多,那時候經常有好兄弟給我發一些正能量,有時候分不清他們是真被盜了發的還是故意裝被盜號發的�����,還好那時還小看不懂�,太正能量了。
qq巨盜病毒早期的盜號病毒����,具體獲取敏感數據這里沒做分析,不過也是一次很好的應急響應歷練�,進程�����、啟動項、服務��、注冊表�����、映像劫持�����、autorun、甚至修改hosts文件盡可能防止殺軟程序進來把病毒殺了����,用來提升應急思路還是不錯的���。
轉自https://www.cnblogs.com/dhan/p/18449489
400 186 1886
