当“网购”和“游戏”已经是互联网上不可或缺组成部分,国内的病毒木马作者由于利益驱使,也逐渐的将目标锁定在了网购者与游戏玩家。更多的传播方法则变成了:把病毒伪造成商品图片、伪装成网游装备图片通过聊天工具传播。把带有木马的非官方游戏安装包放在钓鱼网站上诱骗下载。
虽然此类传播方式已经成为主流,但不可否认的是,以触发高危漏洞执行恶意代码的传播方式,也应该受国内到各大安全厂商的重视。
2013年2月7日,Adobe公司发布了CVE-2013-0634漏洞补丁,而本篇分析文章则围绕一个以触发CVE-2013-0634漏洞执行恶意代码的样本,来为大家阐述病毒作者为了隐蔽自己采用的方法与病毒的工作流程,以提高安全人员防范木马传播的一个引子。
病毒以CVE-2013-0634漏洞触发,利用Adobe Flash Player ActionScript 3.0处理正则表达式存在溢出执行恶意代码。本篇就不再详细叙述漏洞详情。
病毒以判断参数是否为update作为初次运行的条件。
如果参数不是update则创建注册表项:SOFTWARE\\Microsoft\\Network Security Center\\upsbin, 并且在临时目录temp下以~uz加上系统启动到现在所经过的时间为名字来复制自身文件,并且更改文件创建时间为2006年,以update作为参数运行这个文件。如图:
当以update作为参数的时候,病毒会判断系统权限和系统版本,如果系统版本高于vista以上,并且非系统权限,病毒会在临时目录temp下创建update.cab更改文件创建时间为2006年,解压update.cab里面的病毒作者的cryptbase.dll到system32下的migwiz文件夹里,用来突破vista以上版本的UAC限制,然后再以update作为参数重新启动原病毒文件。如图:
当获得系统权限后,病毒会删除原文件,删除注册表键SOFTWARE\\Microsoft\\Network Security Center\\upsbin,删除系统目录migwiz文件夹里的cryptbase.dll,注册SOFTWARE\\Microsoft\\Network Security Cente\\feed0 键值为:bcd4c8c8cc869393ded0d3db92cfd5d2dd92dfd3d192dfd293cecfcf938e8c898c85898c8a8d8e92c4d1d0=
作为之后的密钥来解密更新网址。
注册SOFTWARE\\Microsoft\\Network Security Cente\\ownin 键值为:lbgg
删除SOFTWARE\\Microsoft\\Windows Script Host\\Settings\\Enabled
病毒经过以上流程已经初步完成了在一个机器上初始化自己的生存环境。接下来便开始真正的做坏事了。
病毒以亦或0×30来解密本身文件50E8处脚本文件,然后开始执行脚本。
脚本判断机器是否安装360安全卫士是否开启IE进程,如果有,则全部关闭。
更改注册表项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1201
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1400
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\CurrentLevel以降低Internet Explorer安全设置
创建Guid,添加注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Network Security Center\\macID键值为Guid
删除注册表键值SOFTWARE\\Microsoft\\Network Security Center\\upsbin
获取之前病毒添加的SOFTWARE\\Microsoft\\Network Security Cente\\feed0 键值作为密钥经解密后为http://blog.sina.com.cn/rss/2050xxxxxx.xml而这个网址并非是真正的病毒传播网址,作者为了隐蔽自己,在这里很“精巧”的用了新浪博客作为新的木马服务器地址发布站。
UdateKEY解密后为真正的木马服务器地址:www.xxxx.com/themes/rss.php
分析js脚本,使用抓包工具。可以很清晰的发现病毒往服务器上传了guid,版本,中毒的机器名称,MAC地址,系统版本等相应信息。获取到病毒下载地址。
http://www.xxxxxx.tk/images/plugin.xml与http://www.xxxxxx.tk/images/bits.xml
为了能常驻系统,病毒注册了名字为ptcq_consumer 的活动脚本事件,每隔60秒钟,执行一次脚本
经过如上分析。我们可以发现,作者首先通过新浪博客,发布加密后的服务器网址,再从服务器中获取到加密后的病毒下载地址。这样的做法,只需更改新浪博客的发布地址,便可隐蔽自己的行踪。可见病毒作者的“良苦用心”。回头我们再来看下刚才的新浪博客,如下图:
病毒于2012年6月份就开始传播。距离2013年2月7日,Adobe公司发布漏洞补丁,已经过去了半年多的时间。由此可见,通过高危漏洞传播木马的方式并且以新浪博客,qq空间,微博等,作为加密后的木马服务器网址发布站点的途径,应该值得国内安全厂商与博客类发布平台的密切关注。