这是一个非常古老的文件夹病毒,使用XP系统的文件夹图标,采用VB语言开发,使用了一种自定义的壳来保护,会打开网址http://www.OpenClose.ir,通过软盘、U盘和共享目录进行传播,会在U盘所有的目录下生成自身的副本,根据目录名来生成不同的文件名。有一定的对抗杀软的能力。
样本的基本信息
MD5: 7b4983962fe9d740d6ec5fb153a0525f
SHA1: 114d4cdfb3f0e73eabc449d0877f36a683defff4
SHA256: f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19
样本使用xp系统的文件夹图标。使用了一种变形的壳进行保护。
# 脱壳过程
vb程序的入口点一般为一条push命令,这里实际上压入的是一个指针,指向的是VBHeader结构体,然后就是call指令调用MSVBVM60.dll中的ThunRTMain。这两条指令的目的是调用ThunRTMain函数初始化各种变量。
我们首先找到MSVBVM60.dll中的ThunRTMain的地址,下断点,看它的返回地址。
用IDA打开系统内C:\WINDOWS\system32\msvbvm60.dll,发现ThunRTMain的导出地址为
0x733935A4。
,用OD将msng.exe的样本跑起来,在733935A4处下断点。断下之后,看栈中的返回地址,如下图所示,返回地址为00401A5A,这个地址-10就是程序的入口点,0x401a50。
重新用OD跑样本,在0x401a50处下硬件执行断点,F9继下之后,使用Ollydump插件脱壳即可。
0012FFBC 00401A5A 返回到 1.00401A5A 来自 1.00401A4A
0012FFC0 00401AEC 1.00401AEC
0012FFC4 7C817077 返回到 kernel32.7C817077
病毒行为
结合VB Decompiler Pro的结果,使用IDA和od对病毒进行分析。
感染系统的过程
将自己拷贝到C:\windows\system32\msng.exe,并在注册表表中添加开机启动项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msng="C:\WINDOWS\system32\msng.exe"。
将C:\WINDOWS\system32\Rundll32.exe拷贝为C:\WINDOWS\system32\rundII32.exe,
将自身拷贝为C:\WINDOWS\system32\Rundll32.exe。
启动C:\WINDOWS\system32\Rundll32.exe fuckystart
隐藏文件后缀名,设置注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt=0。
传播方式
若当前进程名为rundll32,参数为fuckystart的话,读取注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Shares 遍历共享目录,感染共享目录。
寻找窗口名为3.5 Floppy (A:),3.5 Floppy (B:),Copying...的窗口,感染中对应的驱动器。
不断获取当前活动窗口的标题,找到下面这样的窗口,使用SendMessage(hWnd, WM_CLOSE, 0, 0)的方式来关闭窗口,应该是为了对抗杀软。
*task*manager*
system configuration utility
*anti*
*kill*
*virus*
*worm*
*remover*
遍历USB驱动器,在每个目录下创建自身的副本,文件名是根据目录名随机生成的,如下所示。
目录名*mp3*,会生成如下形式的文件
Ebi
Kamran & Homan
Omid
Scooter
Britney Spears目录名*show*
Mansour
Black Cats
Andy
The Boys
Britney Spears目录*game*
New Game
War Craft
Mario
Super Snake
Chess Master目录*picture*
New Pictures
Angelina Jolie
Hot
Priceless
Funny目录名*music*
Soft
Rock
Blues
Classic
Jaz目录*video*
my videos
Private
Home
2007.04.30
hot目录名*document*
my docs
home work
Final
New Docs
Clips若没有匹配到上面的模式的话,使用下面的文件名
Video
Clips
Documents
My Documents
New Folder
Angelina Jolie
WallPapers
MP3
Show
New
HOT
Fun
Games
Flash Games
Favorites
使用系统默认浏览器打开 http://www.OpenClose.ir。目前该域名已经不能访问了。
在文件 C:\~0002ftd.tmp中保存病毒的起始目录,然后将其删除。
IOC
hash
MD5: 7b4983962fe9d740d6ec5fb153a0525f
SHA1: 114d4cdfb3f0e73eabc449d0877f36a683defff4
SHA256: f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19file
C:\windows\system32\msng.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundII32.exe
C:\~0002ftd.tmpU盘
会在U盘第个目录下生成一个副本,会根据当前目录名随机生成一个文件名,如下所示,当U盘中有以下文件时就要 小心了
*mp3*
Ebi
Kamran & Homan
Omid
Scooter
Britney Spears*show*
Mansour
Black Cats
Andy
The Boys
Britney Spears*game*
New Game
War Craft
Mario
Super Snake
Chess Master*picture*
New Pictures
Angelina Jolie
Hot
Priceless
Funny*music*
Soft
Rock
Blues
Classic
Jaz*video*
my videos
Private
Home
2007.04.30
hot*document*
my docs
home work
Final
New Docs
ClipsVideo
Clips
Documents
My Documents
New Folder
Angelina Jolie
WallPapers
MP3
Show
New
HOT
Fun
Games
Flash Games
Favorites注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msng="C:\WINDOWS\system32\msng.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt=0
总结
通过分析这个病毒,对VB病毒的逆向有了一定的学习。
参考资料
-
[原创]VB6反编译详解(一)-软件逆向-看雪-安全社区|安全招聘|kanxue.com
-
Visual Basic程序的逆向分析 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn
-
VB快速逆向法-软件逆向-看雪-安全社区|安全招聘|kanxue.com
-
VB常用API (notion.site)
-
msng.exe的VB程序分析_openclose.ir-CSDN博客
-
小甲鱼 OllyDbg 教程系列 (七) :VB 程序逆向分析_ollydbg vb rtcp-CSDN博客
-
Visual Basic 6.0_哔哩哔哩_bilibili
-
【精选】两 API 三步最简实现 VB6 输出到CMD控制台显示 (含获取输入),真输出至 CMD 窗口,非 AllocConsole 模式_vb 控制台输出-CSDN博客
-
VB与API (office-cn.net)
-
小甲鱼 OllyDbg 教程系列 (七) :VB 程序逆向分析_「已注销」的博客-CSDN博客Dir function (Visual Basic for Applications) | Microsoft Learn
-
VB函数——逆向分析备查-CSDN博客
-
VB逆向函数详解2 - 完美视界 - 博客园 (cnblogs.com)
