记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

敲诈者病毒行为分析及瑞星V16+防御方法

2014-01-13 12:30
本篇文章演示是一个国内的敲诈者病毒,这个病毒强制修改系统密码,导致无法正常登录系统,需通过QQ联系病毒制造者,给病毒制造者充Q币,才能获得开机密码。

10月9日下午,瑞星公司向广大网民,尤其是企业用户发出紧急病毒警告:瑞星公司近日截获一类名为“Worm.Win32.CryptoLocker”的新型敲诈型蠕虫病毒,该病毒通过伪装企业电子邮件形式进行传播,一旦感染,电脑中的所有办公文件将被深度加密(AES加密算法),届时黑客会要求用户在72小时之内向其指定账户支付300美元作为解锁费用,否则就销毁解锁密钥,导致重要文件永久性无法恢复甚至泄露的严重安全事故。而本篇文章演示是另一个国内的敲诈者病毒,这个病毒通过强制修改系统密码,导致无法正常登录系统,需通过QQ联系病毒制造者,给病毒制造者充Q币,才能获得开机密码。这个病毒相比较Worm.Win32.CryptoLocker病毒就很挫了,下面我们就来详细看一下这个病毒样本的行为。

病毒样本简介

File:winlock.exe

Size:548kb

MD5:1DC7B92CF56C0B0C40CC707AD5B8B39E

瑞星V16+:Trojan.Win32.Generic.15E08EA1

此病毒样本截图如图1所示,瑞星v16查杀该样本截图如图2所示。

图1:病毒样本,使用易语言编写的

图2:瑞星V16+可以查杀

病毒现象

这次我们使用SSF(SpyShelterFireWall)和processmonitor两个工具,来分析一下这个病毒行为。我们直接双击运行图1的winlock.exe,SSF弹出一个拦截的对话框,其内容是监测到winlock.exe调用系统c:\windows\system\conime.exe来执行应用程序,是否允许执行这个操作,我们点击Allow(允许),便于后续对病毒行为分析,如果我们点击deny(拒绝),病毒行为到此也就终止了。Terminate和deny的效果应该一样,如图3所示,

图3:SSF拦截到winlock.exe调用conime.exe

conime.exe是处理控制台输入法相关的一个程序,往往在运行cmd.exe之后会出现。实际上,我们可以理解为此时病毒样本winlock.exe就是调用cmd命令行,来执行一些命令。如图4所示,系统随之弹出一个命令行窗口,显示正在启动U盾数字证书,请等待。

图4:cmd命令行窗口显示“正在启动U盾数字证书,请等待。”

接下来ssf又监测到winlock.exe执行了一个修改注册表值的行为,如图5所示。

图5:winlock.exe修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption

这里我们还是要点击allow(允许),允许这个操作之后,ssf拦截到病毒的又一行为,winlock.exe调用c:\windows\system32\net.exe,如图6所示。

图6:winlock.exe调用c:\windows\system32\net.exe

到这里大家是不是觉得很莫明其妙,病毒样本运行后只有一些ssf拦截到病毒行为,具体这个病毒要做什么不是很清楚。没关系,后面我们会一一给大家讲解。接下来我们再看ssf还会拦截到病毒样本的哪些行为。在执行调用net.exe之后,ssf又拦截到winlock.exe要执行一个关机重启的操作,如图7所示。

图7:winlock.exe执行关机重启系统的操作。

在ssf拦截到如图7所示,要关机重启系统这步,我们发现之前的命令行里也显示出一条信息“启动完毕,您可以付款了!”。如图8所示,病毒干完坏事了,还提示一条付款信息,这里我们先暂停一下,即不点击allow(允许)关机重启系统,来看一下ssf日志里都有那些信息,如图9所示。

图8:显示“启动完毕,您可以付款了!”

图9:ssf的拦截日志

ssf日志内容里只是一些拦截到的病毒一些行为,如调用了系统哪些程序及修改了注册表值,并没有具体的内容,所以不容易看出病毒具体都做了什么。下面我们来看一下processmonitor都监控到哪些病毒行为。由于我们事先没有设置过滤条件,所以processmonitor监控日志有很多条目。既然前面我们使用ssf监控到病毒有一项修改注册表值的操作,那么这里就添加一条设置注册表键值的过滤条件,在processmonitor里如图10所示。

图10:添加操作是设置注册表值的过滤条件

再来看一下winlock.exe的pid值是多少,我们需要再添加一条winlock.exe进程对应的pid值的过滤条件,这样,processmonitor工具就会单独将捕捉到winlock.exe行为列出。先在processmonitor日志里找一下winlock.exe的pid,如图11所示,winlock.exe的pid为4032。

图11:查找到winlock.exe的pid为4032

点击processmonitor工具的过滤菜单,添加过滤条件pid是4032的过滤规则,如图12所示。

图12:设置pid为4032的过滤规则

点击图12中的应用和确定按钮,processmonitor工具将捕捉到winlock.exe行为单独列出来,如图12-1所示。这里可以发现,前面所示的ssf工具拦截到的winlock.exe行为截图中已经有pid值了,我们直接在processmonitor工具里添加相应的过滤规则即可。

图12-1:processmonitor捕捉到winlock设置注册表值的行为

右键点击图12-1红框中的记录项,点属性如图12-2所示,查看这条记录的属性。我们可以看到具体修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption值是什么内容,如图13所示。

图12-2:查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption注册表项的属性

图13:winlock.exe修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption注册表项值为“老子很猖狂灬小样儿丶还敢刷钻不?”

同时winlock.exe还修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText注册表项值,如图13-1所示。

图13-1:processmonitor捕捉到的修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText注册表项

同样我们右键点击13-1截图红框中的记录项,查看这条记录的属性,如图14所示。

图14:winlock.exe修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText注册表项值为“获取开机密码请联系QQ 1258648554  财付通转账15  QB20  信誉第一”

根据被修改的LegalNoticeText的内容来看,这个病毒可能是修改了系统开机密码,接下来看一下net.exe的行为。先删除之前添加的两条过滤规则,在processmonitor监控记录里查找net.exe,如图15所示。

图15:找到的net.exe进程记录

同样我们右键点击查看属性,如图16所示。

图16:查看net.exe的属性

我们看到net.exe执行了一个net user administrator 145146147命令,如图17和图18所示。

图17:点击进程标签查看net.exe执行的命令内容

图18:winlock.exe调用系统net.exe修改系统管理员密码

到这一步我们应该很清楚病毒行为了,病毒winlock.exe运行后在后台,强制修改系统管理员密码,并利用修改系统注册表项值KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption,制造一个勒索钱财的提示。之前我们在图7这步并没有点击Allow(允许)病毒关机并重启电脑,接下来我们点击Allow(允许),印证一下病毒的行为,如图19所示,点击允许后系统关机重启。

图19:系统关机重启中

重启过程中弹出了如图20所示的对话框,其内容是“获取开机密码请联系QQ 1258648554  财付通转账15  QB20  信誉第一”。

图20:关机重启电脑过程中弹出勒索钱财的提示

我们点击图20中的确定按钮,系统到开机输入密码界面,如图21所示。

图21:系统登录输入密码界面

我们测试的虚拟机并没有设置开机密码,病毒强制修改了系统管理员密码,所弹出输入密码的提示,由于我们前面已经知道病毒修改的密码是什么,所以我们直接输入密码145146147登录系统,如图22所示。

图22:输入病毒修改后的管理员系统密码

图23显示了我们输入病毒修改后的系统管理员密码,成功进入系统。

图23:进入系统界面

在这里我们思考一个问题,这个样本被我们使用工具捕捉到了,病毒修改后的系统管理员密码是什么我们已经知道。如果一个类似病毒被小白不小心跑起来,系统管理员密码被修改了,不知道系统被病毒修改的密码是什么,该怎么办?密码被修改后导致无法进入系统,难道真的要去联系病毒作者通过金钱去购买开机密码?显然是不用的,对于这种垃圾病毒,我们可以使用pe工具引导进系统,pe工具里都会有修改系统管理员密码的小工具,使用这些小工具修改一下密码即可。具体如何操作大家可以在网上搜索相关文章,这里就不详细讲解了。后面我们还会讲解如何使用V16+杀毒软件的系统加固功能,设置规则来防范此类病毒。

病毒处理

前面我们已经通过病毒修改的密码进入到了系统,当然,我们现在对系统的权限是管理员,我们直接修改一下管理员密码就可以,在“我的电脑”右键点击管理,在计算机管理本地用户和组里找到adminitrator修改即可,如图24所示。

图24:打开本地用户和组

展开本地用户和组,在用户右侧窗口找到adminitrator右键点设置密码,如图25和图26所示,我们还是将adminitrator设置为原来的空密码,如图27所示。

图25:设置管理员密码

图26:设置新的管理员密码

图27:设置管理员密码为空

还需进注册表编辑器修改一下相关键值,如图28所示,开始运行输入regedit进入注册表编辑器。

图28:进入注册表编辑器

进入注册表编辑器后找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText,如图29所示,将其值修改为空即可。

图29:注册表编辑器找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

在右侧窗口找到LegalNoticeCaption右键点修改,将LegalNoticeCaption数值数据删除即可,如图30所示。

图30:编辑LegalNoticeCaption键值

同样在右侧窗口找到LegalNoticeText右键点修改,将LegalNoticeText数值数据删除即可,如图31所示。

图31:编辑LegalNoticeText键值

图32和33展示了修改LegalNoticeCaption和LegalNoticeText为空。

图32:修改LegalNoticeCaption值为空

图33:修改LegalNoticeText为空

修改之后我们直接重启电脑,重启后正常进入系统,如图34所示。

图34:正常进入系统

使用瑞星V16+系统加固防御病毒

前面分析了病毒样本主要行为,发现它会调用系统net.exe强制修改管理员密码。那我们就使用瑞星V16+的系统加固自定义规则,添加一条文件规则,禁止任何程序访问net.exe即可,规则设置如图35所示。

 

图35:系统加固设置任何程序禁止访问net.exe

以防万一,我们也可以把net1.exe也加入同样的系统加固规则,如图36所示。

 

图36:系统加固设置任何程序禁止访问net1.exe

注意验证规则时,要关闭瑞星V16+的文件监控,开启主动防御防护。否则,病毒样本会被杀掉,瑞星V16+主防拦截如图37所示。

 

图37:系统加固规则生效

成功拦截net.exe修改管理员密码,重启后病毒样本并没有修改掉系统密码,如图38所示。

 

图38:系统直接进入说明拦截成功

实际上,我们也可以将病毒样本对系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText修改这一行为,同样加入瑞星系统加固规则的注册表规则里来进行防御,这里就不讲解如何添加了,大家可以亲自实践一下

知识来源: www.2cto.com/Article/201401/272004.html

阅读:85662 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“敲诈者病毒行为分析及瑞星V16+防御方法”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云