Blackice.C病毒分析
样本信息
MD5:50f559ef10b0291332d387ac9149878e
样本概述
该病毒是具有对抗能力的感染型病毒,属于blackice家族。其通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell和
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run设置自启来实现持久化,通过注入explorer.exe进程来实现进程保护,通过感染本地磁盘,可移动磁盘和网络资源中的exe,xls,doc文件实现传播,通过从以下地址下载数据到本地运行来实施后续攻击。
http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt
行为概述
注册表行为
1,HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
键:run 值:%windir%\system32\blackice.exe
2,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
键:shell 值:Explorer.exe C:\Windows\system32\blackice.exe(该值导致开机时桌面程序启动失败,只显示壁纸)
文件行为
1,写入%windir%\system32\blackice.exe文件。
2,写入%windir%\system32\kernel.dll文件。
3,感染主机上本地硬盘中的除去winnt和windows目录下的exe,xls,doc文件。
进程行为
1,注入explorer.exe进程,用于在blackice.exe进程结束时重启该进程。
2,查找以下27个安全厂商的相关进程,找到后终止。
网络行为
1,连接http://fmtwld.zj.com/blackice/url.txt和http://fmtwld.vicp.net/blackice/url.txt试图下载数据到本地,保存为%windir%\system32\blackice.ini文件运行。
详细分析
1,创建互斥体“blackicemutex”,用于进程间互斥,防止多个blackice.exe在运行。
若该互斥体已经存在则退出
2,判断系统版本,如果不是Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003,Windows XP或Windows 2000中的一个则退出。
3,获得主机信息。
主机名
获得系统盘信息
获得磁盘序列号
获得主机MAC地址
4,提权,设置SeDebugPrivilege权限。
5,将当前文件复制为%windir%\system32\blackice.exe和%windir%\system32\kernel.dll文件。
6,对explorer.exe进程进行注入,用于进程保护。
首先获得explorer.exe进程的PID
然后打开explorer.exe进程注入shellcode,最后以启动远程线程的方式启动该shellcode。
7,创建六个线程。
线程1:sub_404A71
创建自启:
在HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run处创建自启
键:run 值:%windir%\system32\blackice.exe
创建办法:
检索与Win.ini文件的指定部分中的键关联的字符串
如果没有则写入
在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell创建自启
键:shell 值:Explorer.exe C:\Windows\system32\blackice.exe(该值导致开机时只显示壁纸)
创建办法:
检索"C:\Windows\system32\system.ini"键关联的字符串
如果没有则写入"Explorer.exe C:\Windows\system32\blackice.exe"
持续检测%windir%\system32\blackice.exe和%windir%\system32\kernel.dll存在与否,如果不存在则将自身拷贝过去
持续检测注入的远程线程的退出码,判断是否为正常退出,如果不是则重新进行注入。
线程2:sub_403D93
连接http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt
获得数据写到本地的%windir%\system32\blackice.ini文件中
下载完成后执行该文件
线程3:sub_4051AC
终止安全厂商的27个相关进程
查找相关进程并终止
线程4:sub_403105
设置word和execl的安全级别
感染xls和doc文档的模板文件,使新创建出来的xls和doc文档带毒
线程五:sub_404999
注册watchusb窗口类并创建该类窗口,监视磁盘变更的消息,如果是可移动磁盘则对其进行感染,并感染其中的目标文件。
判断消息类型和磁盘类型
线程六:sub_403771
首先获得本地时间,如果时间不是星期二,四,六则退出该线程
然后以获得时间的毫秒数为种子生成一个随机数,然后以该随机数为参数睡眠
感染本地磁盘中的目标文件,包括exe,doc,xls文件,感染深度为3层目录
感染网络资源中的目标文件,感染深度为4层目录
8,等待线程1和线程2结束后退出进程。
9,注入explorer.exe进程的shellcode分析。
等待blackice.exe进程结束,在其结束后查找%windir%\system32\blackice.exe文件,如果存在则直接运行它,如果不存在则将%windir%\system32\kernel.dll文件复制为%windir%\system32\blackice.exe文件并运行。
1631
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
