image.png

這個(gè)病毒很老了，已經(jīng)有很多前輩分析過該病毒，跟著前輩們的思路深入分析一下戳晌，并編寫一個(gè)清理工具。這是我分析的第一個(gè)真實(shí)環(huán)境下的惡意樣本痴柔，文中如果有不正確的地方請(qǐng)指正。只需要清理工具的話疫向，直接下滑到
解決方案 一節(jié)咳蔚。

病毒行為總覽

代碼使用Delphi7編寫，后續(xù)分析匯編代碼發(fā)現(xiàn)有對(duì)XP系統(tǒng)和更高版本windows做了兼容處理搔驼，在這些系統(tǒng)上都可以正確感染谈火，年代久遠(yuǎn)(我還沒用過xp..)。被感染機(jī)器的 C:\ProgramData\目錄下會(huì)有Synaptics目錄舌涨，其下包含原始的惡意樣本糯耍，但是圖標(biāo)不固定（圖標(biāo)會(huì)更新為最近一次運(yùn)行被感染exe文件的圖標(biāo)），病毒生成的大部分文件都將其設(shè)置為 隱藏文件和系統(tǒng)文件（Exlporer設(shè)置顯示隱藏文件和系統(tǒng)文件或命令行下attrib即可看到）囊嘉。

在這里插入圖片描述

被感染機(jī)器的Desktop温技、Documents、Downloads目錄下的32位EXE文件和xlsx文件都會(huì)被掉包扭粱，但是用戶并不會(huì)有察覺舵鳞，導(dǎo)致文件分享給他人時(shí)，大范圍感染琢蛤。

病毒包含很多模塊蜓堕，下面是一個(gè)大體功能圖，其中和網(wǎng)絡(luò)連接有關(guān)的模塊的IOC都已經(jīng)失效博其。

在這里插入圖片描述

→點(diǎn)擊獲取網(wǎng)絡(luò)安全資料·攻略←

2000多本網(wǎng)絡(luò)安全系列電子書
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
項(xiàng)目源碼
網(wǎng)絡(luò)安全基礎(chǔ)入門套才、Linux、web安全慕淡、攻防方面的視頻
網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

蠕蟲模塊分析

通過 SHGetSpecialFolderLocation和
SHGetPathFromIDListA來獲取要感染的目錄（清理工具的編寫也會(huì)通過這種方式）背伴。病毒會(huì)獲取Desktop、Downloads和Documents的路徑并遞歸感染子文件。

在這里插入圖片描述

EXE文件感染分析

對(duì)于EXE文件挂据，通過LoadLibrary加載到當(dāng)前進(jìn)程（病毒是32位的,所以只感染32位的EXE）以清，根據(jù)其資源節(jié)“EXEVSNX”的情況，來進(jìn)行對(duì)應(yīng)的操作崎逃，這個(gè)資源節(jié)內(nèi)的數(shù)據(jù)代表著版本號(hào)掷倔。這個(gè)病毒是可以進(jìn)行版本更新的。

在這里插入圖片描述

具體的感染流程如下个绍，思路很簡單勒葱。將原文件打包到病毒文件的資源節(jié)“EXERESX”中，病毒文件的圖標(biāo)被替換為原文件的圖標(biāo)巴柿，最后用病毒文件替換原文件凛虽。

在這里插入圖片描述

在這里插入圖片描述

當(dāng)用戶運(yùn)行被掉包的EXE文件時(shí)，會(huì)釋放出資源節(jié)"EXERESX"的原文件并運(yùn)行广恢，這樣就對(duì)用戶來說無感知凯旋。

具體的釋放流程如下，原文件會(huì)被釋放到已 ".cache"開頭的文件中钉迷，文件屬性被設(shè)置為 系統(tǒng)文件和隱藏文件至非，即使打開“顯示隱藏文件的選項(xiàng)”也不會(huì)顯示，“顯示系統(tǒng)文件”的選項(xiàng)一般用戶很少會(huì)打開糠聪。比較有趣的一點(diǎn)是代碼中還會(huì)判斷 ".cache"開頭的文件是否也有資源節(jié)"EXERESX"荒椭。這是一個(gè)重復(fù)感染的問題，病毒作者考慮到了這一點(diǎn)舰蟆。分析整個(gè)代碼來看趣惠，可以發(fā)現(xiàn)病毒作者的編程功底很強(qiáng)，很多特殊情況的處理都有考慮到身害。

在這里插入圖片描述

在這里插入圖片描述

XLSX文件感染分析

感染xlsx文件是通過COM組件完成的味悄，所以只有安裝了Excel的機(jī)器才會(huì)被正確感染（清理工具也是利用COM組件來進(jìn)行修復(fù)xlsx文件的）。

在這里插入圖片描述

大致的感染流程如下题造，病毒文件的資源節(jié)"XLSM"包含包含了惡意宏代碼的xlsm文件傍菇。

在這里插入圖片描述

在這里插入圖片描述

其它模塊分析

這些模塊有的已經(jīng)失效了鲤屡，并沒有太深入的分析损痰。

• 郵件發(fā)送： 使用的是Delphi中封裝好的庫,使用郵件服務(wù)器是
  smtp.gmail.com，賬號(hào)密碼是xredline2@gmail.com;xredline3@gmail.com/xredline2x;xredline3x
  我用gmail登錄了一下酒来，已經(jīng)失效了卢未。發(fā)送郵件的目的郵箱地址是 xredline1@gmail.com
  
  在這里插入圖片描述
• 鍵盤記錄，設(shè)置消息鉤子堰汉，最常用的方式辽社。dll文件在病毒文件資源節(jié)"KBHKS"中。（動(dòng)態(tài)調(diào)試過程中消息鉤子并沒有設(shè)置翘鸭，出錯(cuò)原因還有待確認(rèn)）

在這里插入圖片描述

• 遠(yuǎn)控模塊滴铅，功能很少，反彈shell就乓、屏幕截圖汉匙、文件上下載...
• 自啟動(dòng)項(xiàng)，直接操作注冊(cè)表档址，用的是Delphi封裝好的庫（Register）,使用很簡單盹兢，不贅述。

IOC整理

文件MD5就不貼了守伸，被感染文件一直都是變化的。

在這里插入圖片描述

在這里插入圖片描述

解決方案

基于上面的分析浦妄，就可以編寫修復(fù)工具了尼摹。工具使用的也是Delphi編寫的，為了分析這個(gè)病毒剂娄，稍微了解了一下Delphi蠢涝，正好Delphi提供了一個(gè)很方便使用圖形界面庫。cdj68765 前輩也提供了一個(gè)命令行版本的修復(fù)工具阅懦，是用 c#寫的和二。對(duì)于把xlsm修復(fù)為xlsx，前輩使用了Open_XML_SDK進(jìn)行修復(fù)耳胎，這種方式更好惯吕。我使用的是和惡意代碼一樣的方式（COM組件）進(jìn)行修復(fù)，這是一個(gè)取巧的方式怕午，但是因?yàn)閤lsm中的VBProject被加密了废登，導(dǎo)致通過COM組件的方式無法讀取到宏代碼進(jìn)行特征判斷后再修復(fù)，這里用到了一個(gè)折中的方案進(jìn)行特征判斷郁惜，下面會(huì)說明堡距。

代碼和工具下載在這里：https://github.com/forTheBest12138/RepairerForXredWorm

清理效果如下，目前只會(huì)掃描 Desktop、Downloads羽戒、Documents目錄及其子目錄缤沦。如果不在這些目錄下的文件可以手動(dòng)輸入進(jìn)行修復(fù)，目錄和文件路徑都行易稠。

在這里插入圖片描述

代碼修復(fù)思路說明：

1. 尋找病毒進(jìn)程并關(guān)閉缸废，這邊病毒開機(jī)啟動(dòng)后一直后臺(tái)運(yùn)行
2. 清除自啟動(dòng)項(xiàng)，及其對(duì)應(yīng)的文件
3. 修復(fù)EXE文件缩多，判斷標(biāo)準(zhǔn)是 EXE文件是否包含EXEVSNX和 EXERESX資源節(jié)呆奕，原理很簡單，不贅述。

在這里插入圖片描述

修復(fù)XLSX文件兔港，使用COM組件的方式其實(shí)就和手動(dòng)用Excel進(jìn)行操作是一樣的栈源。所以我的思路是將xlsm"另存為/SaveAs"為xlsx格式，就會(huì)直接剔除掉宏代碼姆泻，就和手動(dòng)用Excel將xlsm保存為xlsx的效果是一樣的，對(duì)應(yīng)的代碼就是圖中標(biāo)號(hào)3的地方冒嫡。有幾個(gè)坑點(diǎn)拇勃，圖中標(biāo)號(hào)1處的代碼表示打開xlsm文件時(shí)是否執(zhí)行宏代碼，默認(rèn)為1孝凌，即執(zhí)行方咆，所以一定要設(shè)置成3！ｓ凹堋瓣赂！這個(gè)選項(xiàng)好像不受宏執(zhí)行策略的影響。標(biāo)號(hào)2處的代碼是來判斷xlsm的宏代碼中是否有特定的字符串片拍，這樣就可以先進(jìn)行特征匹配判斷其是否是被感染的xlsm文件煌集，再進(jìn)行修復(fù)，但是因?yàn)閤lsm文件中的VBProject被加密捌省，無法讀取到宏代碼苫纤。所以這部分代碼無法使用，上面提到的折中的方案就是判斷VBProject是否被加密再進(jìn)行修復(fù)纲缓。所以特殊情況就是一個(gè)正常的xlsm文件有被加密的VBProject就會(huì)被誤認(rèn)為是被感染的文件卷拘！如果用Open_XML_SDK的話是可以繞過加密的問題，這樣就可以達(dá)到100%的修復(fù)準(zhǔn)確率色徘。

在這里插入圖片描述

在這里插入圖片描述

在這里插入圖片描述