江民赤豹安全实验室拦截了一款名为Backdoor.GameThief,后门类型病毒。该病毒会通过资源释放两个内容类似的文件到临时文件目录及系统目录下,分别用于重置SSDT干扰杀软,以及创建服务形成后门,接着在服务中通过硬编码获取远程C&C服务器地址,收集信息,下载恶意代码进一步危害计算机。
病毒信息
病毒名称:Backdoor.GameThief
病毒家族:Backdoor.GameThief
病毒类型:后门
MD5:
DD668456CF2F3B72773D1968487BDCD5。
SHA1:
4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9。
文件大小:112255字节。
文件类型:EXE
传播途径:邮件,互联网
专杀信息:暂无
影响系统:Windows xp/Windows 7/Windows 8/Windows 10等系统。
样本来源:互联网
发现时间:
入库时间:
C2服务器:192.168.1.88:8088
病毒危害
该病毒入侵电脑后,会下载恶意代码直接执行或注入winlogon.exe,可能对系统造成更严重的损害。
手工清除方法
1). 停止服务列表中的通俗名为“Microsoft Device Manager”服务项
2). 删除注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices中与(1)中服务同名的注册表子项
3). 删除system32目录下与(1)中服务同名,格式为“%s..ex.dll”文件
4). 删除%temp%目录下格式为“%d_ex.tmp”文件,其创建时间固定为2004年8月17日,20:00:00
应对措施及建议
1). 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2). 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
3). 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4). 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
5). 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
6). 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
7). 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
文件行为
1). 在system32目录下释放格式为“%s…ex.dll”文件
2). 在%temp%目录下释放格式为“%d_ex.tmp”文件,修改文件时间为2004年8月17日,20:00:00
进程行为
1). 创建通俗名为“Microsoft Device Manager”服务项。
2). 劫持winlogon.exe
注册表行为
1). 创建注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxx
2). 修改注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxStart值: 0x00000002(2)
3). 修改注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxImagePath值: %SystemRoot%System32svchost.exe -k
4). 修改注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesxxxParametersServiceDll值: C:Windowssystem32xxx…ex.dll
5). 修改注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxDisplayName值: Microsoft Device Manager
6). 修改注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxDescription值: 监测和监视新硬件设备并自动更新设备驱动
网络行为
1). Socket通信上传计算机信息至192.168.1.88:8088
2). 从192.168.1.88:8088下载文件
详细分析报告
1). 在文件末尾0x400的数据中找到“AAAAAA”,“CCCCCC”标志字符串,将后续字符串保存。
图1.1 通过标志查找字符串
图1.2 查找末尾0x400数据
2). 判断运行参数,如果不是“Gh0st Update”则以(1)中从“AAAAAA”处获取的字符串为名称的互斥体,保证进程中只有一个实例。
图2.1 判断运行参数
图2.2 创建互斥体
3). 添加Ace到Acl,控制进程的访问。
图3.1 添加Ace
4). 在临时文件创建一个格式为“系统指针_res.tmp”的临时文件,从资源“BIN”中获取数据写入并设置文件创建及修改时间至2004年8月17日,20:00:00,随后再创建一个格式为“系统时针_ex.tmp”的文件,接着替换刚刚生成的“_res.tmp”文件并设置隐藏属性,增加分析难度。最后调用文件中的ResetSSDT函数,目的是影响某些杀毒软件的正常工作。
图4.1 释放临时文件重置SSDT
图4.2 替换临时文件
5). 在注册表“HLMSOFTWAREMicrosoftWindows NTCurrentVersionSvchost”寻找项“netsvcs”下的字符串,是否在“HLM SYSTEMCurrentControlSetServices”下存在子健,如果存在则创建“服务名sex.dll”的文件名,路径为系统目录,以该路径文件名创建服务。
图5.1 创建服务
6). 设置相关的服务注册表项,并从“BIN”资源中获取数据创建文件,形成后门。
图6.1 设置注册表
7). 服务启动后,首先挂起,创建工作线程。
图7.1 创建线程工作
8). 将之前从文件中获取的“rqaxva61p72uvaenqaevp6ef”经过Base64以及普通加密运算得到IP地址192.168.1.88:8088。
图8.1 解密ip
9). 然后获取系统相关信息,包括系统版本,本地标准主机名,CPU主频信息,驱动版本信息,然后将这些数据发送给远程服务器。
图9.1 发送系统信息
10). 后门控制功能包括收集磁盘和文件信息发送至服务器,屏幕和音频控制。
图10.1 收集磁盘信息
图10.2 音频视频控制
控制cmd并通过管道获取执行结果发送至服务器。
图10.3 创建管道
提升权限遍历进程及进程模块信息发送至服务器。
图10.4 遍历进程和模块
从服务器下载程序直接执行。
图10.5下载文件执行
生成“%d.back”文件劫持winlogon.exe
图10.6 劫持winlogon.exe
样本溯源分析
远程服务器地址:192.168.1.88:8088可能是局域网内IP,该样本可能是测试版本