U盘_硬盘感染传播病毒分析

ADD1ADD2

   U盘_硬盘感染传播病毒分析报告                 
目录
病毒信息
病毒概况
病毒危害
手工清除方法
漏洞补丁信息
应对措施及建议
文件行为
进程行为
注册表行为
网络行为
详细分析报告样本
溯源分析              
病毒信息病毒名称：GHO.exe。
病毒家族：。
病毒类型：。MD5：94861ECBC2FD8043FA5BD69D004CFE59。
SHA1：0C9DEC73697F74A8657E538EEF8016A515E6CBC0。
文件大小：PE EXE。
文件类型：480 字节。
传播途径：U盘、硬盘。
专杀信息：暂无
影响系统：。
样本来源：互联网
发现时间：
入库时间：
C2服务器：。
病毒概况
   该样本VT上显示最早上传时间是2009年，是一个Delphi程序但是会释放一个VB程序，程序应该是中国人编写的程序中含有“中华人民共和国万岁”和“感动中国特别奉献”等字样。这个病毒会将C盘外所有文件夹隐藏，拷贝自身过去，并且将自身命名为源文件名称，还会删除（除C盘外）检测当前日期为1号、10号、21号、或29号的所有文件。还会利用各种途径让自己存活下来，包括将自己伪装成文件夹，使用双进程守护保护自身，创建注册表为服务，通过复制到硬盘或者U盘传播。   
病毒危害        目前发现的主要危害就是：删除上述所说的指定日期文件，修改C盘外的磁盘的文件病毒文件伪装，并未对系统造成什么影响。

手工清除方法
1).  创建一个.bat文件输入taskkill /f /im nasm.exe换行taskkill /f /im mscb.exe执行。
2).  手动删除c\windows\nasm.exe与mscb.exe、avb.exe、mydat2文件
3).  删除注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msfsa"="C:\\windows\\avb.exe"。
4) . 删除C：\windows\system32\javasc.exe。
5) . 删除所有文件夹显示的可执行文件。
漏洞补丁信息暂无
应对措施及建议
1). 建议用户保持良好的上网习惯，不要随意打开来路不明的文档。
2). 及时更新系统及软件，保持系统和软件保持最新版本。
3). 不要随意接收聊天工具上传送的文件及运行。
4). 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
5). 安装专业的防毒软件升级到最新版本，并开启实时监控功能。
6). 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
文件行为
1). 创建文件，从自身资源释放mydat2文档。
2). 删除指定日期文件。
进程行为
1). 创建进程c:\windows\javasc.exe。
2). 创建进程 c:\windows\avb.exe。

注册表行为
1). 创建注册表：[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dongtian]。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dongtian]。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dongtian\Security]。
2). 设置注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001"CheckedValue"=dword:00000000。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msfsa"="C:\\windows\\avb.exe"。
3). 删除注册表值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]  "CheckedValue"=dword:00000001

网络行为暂无           
详细分析报告
1) . 利用IDA分析：主程序看似很简单在CreateForm创建了Form，然后通开机自启动avb.exe->Run（）进入消息循环：


2) . 程序开始调用paramstr函数获取自身的程序进程名,应该是比较了自身的程序名，如果是的话就进行下面复制自身的行为,将自身复制c:\\windows下并且命名为sdafdf.exe,并且运行，调用Halto（）退出：



3) . 如果第一步判断否的话就会首先判断自己同名的文件夹是否存在,存在的话就会调用 shellExecuteA（）打开,无论存在与否都会执行C:\\windows\\avb.exe是否存在:




4). 存在就会执行sub_44F3A0，修改注册表:


接下来创建拷贝自身C:\\windows\\system32\\javasc.exe，并且将javasc.exe注册为服务：


修改注册表不显示隐藏文件，并且修改文件夹选项也没用，删除文件夹选项中的隐藏已知文件类型的扩展名选项，删除这个键：


再次修改注册表，将avb.exe加入注册表Run中，退出：


5). 创建拷贝自身C：\windows\system32\javasc.exe，并在sub_44E5CC中将javasc.exe注册为服务：


比较进程名是不是C：\windows\avb.exe，如果是则⑪，否则⑫；⑪　创建拷贝自身C：\windows\mscb.exe，并执行，之后调用halt0()退出；⑫　比较是不是C：\windows\mscb.exe，如果不是，则程序调用halt0()退出，如果是则CreateForm过程正常退出，程序继续运行，进行下面timer的响应过程。
6). 接下来会关闭计时器，读取资源，释放C:\windows\nasm.exe，并且运行nasm.exe:

Timer2：首先获取当前系统时间:



然后在0x0044F2DE处，获取磁盘信息:



比较文件时间如果是2009.03之前，就结束，并且判断是不是1.10.21.29号的病毒，如果是就会进行删除操作：


设置文件夹属性将其隐藏：


然后创建以文件夹名称的可执行文件，伪装成文件夹：

Timer3：修改注册表：

在timer4中释放了nasm.exe，他与mscb.exea实现了双进程守护，两个进程彼此创建，结束其中一个都会被另一个再次创建。nasm.exe会遍历进程，看系统中是否存在heihu.exe程序，存在的话 就会执行shutdown -f -s -t 10 -c  heihu?error!关机

     
样本溯源分析暂无  
结论：本次病毒分析，发现这个病毒会将C盘外所有文件夹隐藏，拷贝自身过去，并且将自身命名为源文件名称，还会删除（除C盘外）检测当前日期为1号、10号、21号、或29号的所有文件。还会利用各种途径让自己存活下来，包括将自己伪装成文件夹，使用双进程守护保护自身，创建注册表为服务，通过复制到硬盘或者U盘传播（这是对一位大佬的文章进行的复现）。  

Hmily

几篇文章看起来是从其他地方复制进来的，格式很乱，建议先点击输入框右侧的“纯文本”再进行粘贴编辑，这样不会带入不识别的信息，另外图片需要上传，看这个帮助学习一下：https://www.52pojie.cn/misc.php? ... 29&messageid=36 ，其他几个帖子不通过了，直接重新编辑好发吧。

咋也学不会

Incaseformat

凌晨四点半

没看懂，有点乱

LuChao

感谢分享

ADD1ADD2

Hmily 发表于 2022-5-16 11:28
几篇文章看起来是从其他地方复制进来的，格式很乱，建议先点击输入框右侧的“纯文本”再进行粘贴编辑，这样 ...

谢谢第一次上传也在修改中

ADD1ADD2

Hmily 发表于 2022-5-16 11:28
几篇文章看起来是从其他地方复制进来的，格式很乱，建议先点击输入框右侧的“纯文本”再进行粘贴编辑，这样 ...

那几篇麻烦删除吧local这个我再重新上传以下，预览的时候还挺好的

Hmily

ADD1ADD2 发表于 2022-5-16 17:58
那几篇麻烦删除吧local这个我再重新上传以下，预览的时候还挺好的

不要用预览，你仔细看我上面的内容，如果你要粘贴就粘贴到“纯文本”状态下，粘贴完再切换。

shubiao

很厉害，学习

alongzhenggang

小小学习下