僵尸网络研究系列--典型Botnet分析
对典型僵尸网络进行长期跟踪和深入分析,有利于对僵尸网络的更多了解,从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络,从僵尸网络客户端程序入手,分析了各种控制命令的功能,并对僵尸网络的活动进行了归类统计,最后对僵尸网络的控制者进行了定位。
客户端程序分析
客户端组成分析
文件名 - beta.exe
文件大小 - 1.03MB
获得时间 - 6月24日
文件类型 - 应用程序,以SFX RAR加壳,即可以直接执行,在C:\Program Files\WebS3\上释放如下表中的文件。
文件名 文件说明
snpvt2k.exe 正常的mIRC.exe文件,故反病毒软件一般不把它视为病毒,版本为6.03。
repcale.exe 隐藏程序的运行画面,使用户看不到病毒的活动。有的反病毒软件将它视为病毒。在DOS命令行中调用。
hd.exe 隐藏程序的运行画面,有的反病毒软件把它视为病毒。也是在DOS命令行中调用。
orrl.exe 局域网sniff工具,可以记录LAN traffic,原名称为daSniff。
ps2m.exe 原名为pspv.exe,将Windows注册表中加密存储的用户名以及口令信息到出来解密显示。这是一个正常的软件,但由于它的特性,有的反病毒软件(Norton)将它视为Trojan/Virus类的hacking工具。这个工具的功能很强,可以从最新升级的Windows平台盗出私人信息。反病毒软件可能不起作用,有的防火墙会防止pspv向注册表中存储私人信息的区域的访问盗出信息。
cult.exe 正常的软件,原名为PrcView的进程管理软件,具有类似于"Windows任务管理器"的功能。
addx.exe 微软的修改Windows注册表的程序。
d.dll 未知
msn.dll MSN messenger的应用程序扩展文件,可以利用此dll对messenger进行操作(如,加新联系,断接,查看状态等)。
xxx.reg xxx为从100~999随机生成的数字,Windows注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项上添加" snpvt2k.exe",使病毒Windows开始时自启动。
pxs.sys mIRC脚本,包含恶意的代码。
lovely.sys mIRC脚本,包含恶意的代码。
c.sys mIRC脚本,包含恶意的代码。
as.sys mIRC脚本,包含恶意的代码。
knlps.sys knlps.exe的辅助文件。knlps.exe为列出当前系统中运行的进程的工具。但是,在beta.exe中缺了knlps.exe,无用。
v1rg1n 名字表,连接到其他IRC服务器时使用。
mirc.ini mIRC必修的配置设置文件,将mIRC的sound项均匀设置为no sound,避免病毒隐藏运行时出声音,并读入上述4个含有恶意代码的mIRC脚本。
remote.ini mIRC辅助文件aliases.inimIRC辅助文件,添加了IRC服务器上取昵称的命名规则,模式(mode)设置,状态设置等的附加信息。
v1reg.bat DOS批处理文件,与上述的xxx.reg同样包含注册表修改的内容。
ksat.bat DOS批处理文件,包含knlps.exe的处理过程(将当前运行的进程的列表写到taks.w里)。
w.e 局域网sniff的结果以text形式存放此处,便于在IRC上给Botnet***显示结果。
taks.w 进程的列表,为了便于在IRC上给Botnet***显示结果而生成。
客户端工作流程
1.beta.exe(原始自动脱壳文件),通过email、互联网、botnet等的路径存放到磁盘上并执行。
2.beta.exe在本地磁盘上自动脱壳,在指定的目录中释放壳内的文件,执行snpvt2k.exe(mIRC)。
3.mIRC执行,从mirc.ini读入配置信息,从lovely.sys、pxs.sys、as.sys、c.sys引入恶意代码。
4.隐藏mIRC界面,修改Windows注册表的自启动部分。
5.连接到指定的IRC服务器,并在指定的channel上等待***的命令。
控制指令分析
只有具有channel op权的***能发出的命令
进程操作:***可以杀bot上正在运行的进程,这样可以关掉防火墙、反病毒等软件。
窃听:窃听结果显示在IRC服务器的一个channel(不同于bots接受命令的channel)上显示。***在该channel上收看bots显示的窃听结果。
***命令:在互联网上进行流量***。
IRC操作命令:干扰其他IRC服务器(如发送大量的垃圾消息)。
其他命令:从互联网下载文件、断接后重新连接、允许输入所有的IRC命令等命令。
不受op权限制的命令
IRC操作命令:如!c、!c off、!ch、!ch off等命令。
控制MSN messenger:如 !msn、freeze、add等命令.
对典型僵尸网络进行长期跟踪和深入分析,有利于对僵尸网络的更多了解,从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络,从僵尸网络客户端程序入手,分析了各种控制命令的功能,并对僵尸网络的活动进行了归类统计,最后对僵尸网络的控制者进行了定位。
客户端程序分析
客户端组成分析
文件名 - beta.exe
文件大小 - 1.03MB
获得时间 - 6月24日
文件类型 - 应用程序,以SFX RAR加壳,即可以直接执行,在C:\Program Files\WebS3\上释放如下表中的文件。
文件名 文件说明
snpvt2k.exe 正常的mIRC.exe文件,故反病毒软件一般不把它视为病毒,版本为6.03。
repcale.exe 隐藏程序的运行画面,使用户看不到病毒的活动。有的反病毒软件将它视为病毒。在DOS命令行中调用。
hd.exe 隐藏程序的运行画面,有的反病毒软件把它视为病毒。也是在DOS命令行中调用。
orrl.exe 局域网sniff工具,可以记录LAN traffic,原名称为daSniff。
ps2m.exe 原名为pspv.exe,将Windows注册表中加密存储的用户名以及口令信息到出来解密显示。这是一个正常的软件,但由于它的特性,有的反病毒软件(Norton)将它视为Trojan/Virus类的hacking工具。这个工具的功能很强,可以从最新升级的Windows平台盗出私人信息。反病毒软件可能不起作用,有的防火墙会防止pspv向注册表中存储私人信息的区域的访问盗出信息。
cult.exe 正常的软件,原名为PrcView的进程管理软件,具有类似于"Windows任务管理器"的功能。
addx.exe 微软的修改Windows注册表的程序。
d.dll 未知
msn.dll MSN messenger的应用程序扩展文件,可以利用此dll对messenger进行操作(如,加新联系,断接,查看状态等)。
xxx.reg xxx为从100~999随机生成的数字,Windows注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项上添加" snpvt2k.exe",使病毒Windows开始时自启动。
pxs.sys mIRC脚本,包含恶意的代码。
lovely.sys mIRC脚本,包含恶意的代码。
c.sys mIRC脚本,包含恶意的代码。
as.sys mIRC脚本,包含恶意的代码。
knlps.sys knlps.exe的辅助文件。knlps.exe为列出当前系统中运行的进程的工具。但是,在beta.exe中缺了knlps.exe,无用。
v1rg1n 名字表,连接到其他IRC服务器时使用。
mirc.ini mIRC必修的配置设置文件,将mIRC的sound项均匀设置为no sound,避免病毒隐藏运行时出声音,并读入上述4个含有恶意代码的mIRC脚本。
remote.ini mIRC辅助文件aliases.inimIRC辅助文件,添加了IRC服务器上取昵称的命名规则,模式(mode)设置,状态设置等的附加信息。
v1reg.bat DOS批处理文件,与上述的xxx.reg同样包含注册表修改的内容。
ksat.bat DOS批处理文件,包含knlps.exe的处理过程(将当前运行的进程的列表写到taks.w里)。
w.e 局域网sniff的结果以text形式存放此处,便于在IRC上给Botnet***显示结果。
taks.w 进程的列表,为了便于在IRC上给Botnet***显示结果而生成。
客户端工作流程
1.beta.exe(原始自动脱壳文件),通过email、互联网、botnet等的路径存放到磁盘上并执行。
2.beta.exe在本地磁盘上自动脱壳,在指定的目录中释放壳内的文件,执行snpvt2k.exe(mIRC)。
3.mIRC执行,从mirc.ini读入配置信息,从lovely.sys、pxs.sys、as.sys、c.sys引入恶意代码。
4.隐藏mIRC界面,修改Windows注册表的自启动部分。
5.连接到指定的IRC服务器,并在指定的channel上等待***的命令。
控制指令分析
只有具有channel op权的***能发出的命令
进程操作:***可以杀bot上正在运行的进程,这样可以关掉防火墙、反病毒等软件。
窃听:窃听结果显示在IRC服务器的一个channel(不同于bots接受命令的channel)上显示。***在该channel上收看bots显示的窃听结果。
***命令:在互联网上进行流量***。
IRC操作命令:干扰其他IRC服务器(如发送大量的垃圾消息)。
其他命令:从互联网下载文件、断接后重新连接、允许输入所有的IRC命令等命令。
不受op权限制的命令
IRC操作命令:如!c、!c off、!ch、!ch off等命令。
控制MSN messenger:如 !msn、freeze、add等命令.
653
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
