病毒查杀:Heur.Invader (修改)分析

Simen.Resh@d

作者：Greysign

一、
病毒标签：
病毒名称： Heur.Invader (修改)
病毒类型：
下载者/木马
文件MD5: 3B48BCE70AACCBDE6FF0B3889B309EA6

文件长度： 1.89 KB (1,937 字节)

公开范围：
完全公开
危害等级： C
开发工具： C语言
加壳类型： FSG 2.0 -> bart/xt壳
命名对照：
未查明的 NewHeur_PE 病毒
二、
病毒描述：

病毒经过入口点修改后，使用FSG压缩壳进行压缩减小程序大小。病毒运行后在后台打开IE进行反弹连接下载并执行病毒。
三、
行为分析：

运行后使用GetWindowsDirectoryA获取系统目录，然后将系统目录结合到"program files\\Internet Explorer\\IEXPLOR"

得到IE的路径。

然后WinExec运行IE，FindWindowA寻找类名为IEFrame的进程，获取其PID，打开进程获取模块句柄。使用WriteProcessMemory修改其内存，然后CreateRemoteThread建立远程线程下载病毒。

使用URLDownloadToFileA和ShellExecuteA下载以下地址文件并执行病毒：

1. seg002:13153000 00000021 C http://cc.gogo52o.com/crr/10.exe
   
2. 
   
3. seg002:13153024 00000014 C \com\savesave10.exe
   
4. 
   
5. 
   
6. seg002:13153038 00000020 C http://cc.gogo52o.com/crr/9.exe
   
7. 
   
8. seg002:13153058 00000013 C \com\savesave9.exe
   
9. 
   
10. seg002:1315306C 00000020 C http://cc.gogo52o.com/crr/8.exe
    
11. 
    
12. seg002:1315308C 00000013 C \com\savesave8.exe
    
13. 
    
14. seg002:131530A0 00000020 C http://cc.gogo52o.com/crr/7.exe
    
15. 
    
16. seg002:131530C0 00000013 C \com\savesave7.exe
    
17. 
    
18. seg002:131530D4 00000020 C http://cc.gogo52o.com/crr/6.exe
    
19. 
    
20. seg002:131530F4 00000013 C \com\savesave6.exe
    
21. 
    
22. seg002:13153108 00000020 C http://cc.gogo52o.com/crr/5.exe
    
23. 
    
24. seg002:13153128 00000013 C \com\savesave5.exe
    
25. 
    
26. seg002:1315313C 00000020 C http://cc.gogo52o.com/crr/4.exe
    
27. 
    
28. seg002:1315315C 00000013 C \com\savesave4.exe
    
29. 
    
30. seg002:13153170 00000020 C http://cc.gogo52o.com/crr/3.exe
    
31. 
    
32. seg002:13153190 00000013 C \com\savesave3.exe
    
33. 
    
34. seg002:131531A4 00000020 C http://cc.gogo52o.com/crr/2.exe
    
35. 
    
36. seg002:131531C4 00000013 C \com\savesave2.exe
    
37. 
    
38. seg002:131531D8 00000005 C open
    
39. 
    
40. 
    
41. seg002:131531E0 00000020 C http://cc.gogo52o.com/crr/1.exe
    
42. 
    
43. seg002:13153200 00000013 C [url=file://com/savesave1.exe]\com\savesave1.exe[/url]

复制代码

解决方案：
把http://cc.gogo52o.com添加至HOSTS进行屏蔽。
删除以下文件：
%windir%\system32\Com\savesave1.exe

。。。。。
%windir%\system32\Com\savesave10.exe

从savesave1.exe到savesave10.exe一共10个文件。
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。

[ 本帖最后由 Simen.Resh@d 于 2008-3-24 00:53 编辑 ]

SiMen.Petrified

谢谢..
Simen.Resh@d 很辛苦 .
  帮你加加分!