下面内容是瑞星网上,资讯安全栏目的内容。接着楼主的内容如下:
至此,我们分析了temp.tmp的主要一些行为,既然有写入启动项,那么我们就再来看一下写入的启动项psrass.exe又有哪些病毒行为。要看启动项的病毒行为,当然要重启电脑,在重启电脑前,为了更好地观察到重启之后病毒的一些行为,我们设置一下processmonitor工具,使用启用启动日志,具体设置方法如图24所示。
图24:勾选processmonitor工具的启用启动日志 勾选此项后,processmonitor工具会弹出processmonitor被设置为日志下次启动间的活动。我们点击确定即可。如图25所示,勾选这项后,在我们重启电脑后再次运行processmonitor工具后会有一个保存监控记录的提示,会详细记录下重启电脑到开机启动的一些程序行为,当然也包括我们的想要看到的psrass.exe的行为。
图25:勾选启用启动日志时processmonitor弹出的提示 当我们重启电脑后,再次运行processmonitor工具就会提示是否保存启动时间活动日志,如图26所示。
图26:重启电脑再次运行processmonitor弹出保存日志提示 我们根据提示点击“是”来保存收集的数据,保存成功后processmonitor会自动将所有收集的数据都列出来,接下来我们看一下psrass.exe的行为都有哪些。我们通过搜索psrass.exe发现psrass.exe的pid为1912,设置pid为1912的过滤规则,processmonitor列出所有psrass.exe的行为,如图27所示。
图27:启用启动日志时processmonitor监测到的psrass.exe病毒行为 我们通过分析发现psrass.exe会有很多大量的对磁盘文件访问及查询的操作,看来这个psrass.exe会收集磁盘数据,我们截取了部分processmonitor监测到的psrass.exe查询操作记录,如图28所示,由于内容较多就不一一截图了。
图28:psrass.exe查询C:\Program Files目录数据 在所有的查询操作完毕之后,psrass.exe会创建C:\Documents and Settings\Administrator\Local Settings\Temp\desktopc.ini文件,psrass.exe将收集到的磁盘数据会保存到desktopc.ini文件中,如图29所示。
图29:psrass.exe向系统临时文件夹写入desktopc.ini文件 我们来看一下病毒文件psrass.exe写入desktopc.ini文件的内容都有哪些,如图30所示,desktopc.ini文件内容被加密了,我们使用winhex工具打开这个被加密的文件,字符串的内容还是加密的。hex显示区内容有很多C3,如图31所示,有可能是XOR C3,我们尝试解密一下,在选中所有内容后右键点击Edit---Modify Data,在XOR出填写C3,如图32所示,点击确定后,我们在字符串区域看到了能够识别出的字符内容,如图33所示。
图30:desktopc.ini文件内容 图31:winhex打开加密的desktopc.ini文件 图32:解密加密内容填写异或值C3 图33:解密后desktopc.ini文件内容 我们可以使用winhex的导出功能将解密后的文件保存到txt文档中,就可以清楚地看出解密后的内容,如图34所示。
图34:psrass.exe会收集磁盘文件的大小,如红框中的pagefile.sys(786432K) 我们来验证一下解密后结果,是否和我们本机磁盘的pagefile.sys大小一样,如图35所示,果然一样。
图35:pagefile.sys大小同病毒写入desktopc.ini文件内容 我们再来看一下psrass.exe还会有哪些行为。我们只分析到了其中的一部分,进一步分析,我们发现psrass.exe会调用系统cmd命令去运行C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~MV1DFG78.tmp,如图36所示。
图36:cmd.exe进程启动 我们右击图36红框中的那条记录,点击属性进行查看,如图37所示,我们看到cmd.exe的父进程pid为1912也就是psrass.exe。
图37:cmd.exe父进程pid为1912,即psrass.exe 点击图37的事件属性的进程标签,我们可以看到cmd命令行内容,如图38所示。
图38:psrass.exe调用cmd运行~MV1DFG78.tmp ~MV1DFG78.tmp就是前面temp.tmp写入到系统临时文件夹的文件,接下来我们来看一下这个~MV1DFG78.tmp这个文件到底是什么程序。将~MV1DFG78.tmp的扩展名修改为exe,发现原来~MV1DFG78.tmp是一个应用程序,如图39所示,直接双击运行一下,原来~MV1DFG78.tmp是一个Mail Passview工具,如图40所示。
图39:修改~MV1DFG78.tmp为~MV1DFG78.exe 图40:~MV1DFG78.exe运行截图 我们大胆猜想一下,之前temp.tmp在系统临时文件夹下释放的另一个文件~WV3ECD59.tmp会不会也是一个应用程序呢?答案毋庸置疑,如图41所示,我们将~WV3ECD59.tmp修改为~WV3ECD59.exe,直接双击运行。~WV3ECD59.tmp是一个WebBrowserPassView工具,如图42所示。
图41:修改~WV3ECD59.tmp为~WV3ECD59.exe 图42:~WV3ECD59.exe运行截图 不用说,~WV3ECD59.tmp肯定也是psrass.exe调用cmd命令行来运行的,如图43所示。
图43:psrass.exe调用cmd运行~WV3ECD59.tmp 到这里大家可能会有疑惑,我来解释一下。实际上。psrass.exe以命令行隐式的方式去运行~MV1DFG78.tmp和~WV3ECD59.tmp用来盗取本机e-mail和web浏览器保存的账户信息。这两个工具分别具有可以查看本地e-mail的账户信息和浏览器保存的账户信息的功能。这也是这个病毒狡猾之处,释放了两个正常的mail账户信息和浏览器账户信息查看工具,利用这两个工具来查看本地相关账户信息,将查找的账户信息写入加密的配置文件,之后再发送到指定的黑客服务器上,从而达到盗号的目的。
最后简单说一下这个病毒处理,病毒处理起来比较简单,病毒文件都在系统临时文件夹目录下,我们直接使用xuetr工具的强制删除功能,将所有病毒文件删除即可,如图44所示。
图44:使用xuetr强制删除病毒文件 再将病毒写入的启动项信息删除即可,如图45所示。
图45:删除病毒启动项信息 | 
发表于 2013-9-13 19:40
发表于 2013-10-17 19:46
发表于 2013-9-14 12:52
