争议样本SpyEyes分析——金山病毒分析

Madook

今天卡饭样本区的一个样本引发了大家不小的争论（原帖地址：http://bbs.kafan.cn/thread-1064830-1-1.html），有鉴于此，我们的分析员对引起争议的病毒样本进行了较为详细的分析，在此将结果公布出来，以消除大家的疑惑。无论谁对谁错，大家求甚解的态度非常值得肯定，希望大家本着交流学习的目的，避免口水，共同进步！

【分析报告】
文件MD5 ：7936ADF7630A4BC4B48CA141A58D8EA9
开发语言：VB
分析平台：WIN7

该病毒由VB开发，利用了类灰鸽子的加载手法完成病毒行为，即创建宿主进程并将其掏空后填入真正的病毒代码执行，其真实身份是一个IRC后门。下面我们来看看病毒执行的具体过程。

1、首先，病毒创建新的自身进程, 并将该进程设置为挂起状态.


2、调用ZwUnmapWiewOfSection卸载目标进程的主镜像


3、在目标进程空间内申请内存，并把解密后的病毒功能代码体写入到目标进程



4、设置病毒线程环境并开始执行：



5、病毒hook 多处explorer的api，达到自保护及其他目的，如图：


6、copy自身到指定目录下并设置注册表自启动项。新病毒文件由于病毒hook了ZwQueryDirectoryFile，导致正常浏览是无法看到的，需要利用工具将hook恢复后可见：



7、我们将目标病毒进程内的功能代码dump出来后，并提取字符串如下，相信大家到此应该一目了然了，典型的IRCBOT，至于真正的病毒功能不再需要详细分析，大家的疑惑及争论应该解决了：

无垠穹宇

行为很多慢慢看

hzqedison

哈哈 出马了

543596700

看不懂的顶一下

ososo

太强大了。

dreams521

金山的官人都过来解释了,争论可以停止了

saga3721

那么运行之后HIPS也没有反应的算是中了还是没中呢？为什么HIPS监控不到行为呢？

dreams521

对了,最初为什么金山云鉴定会认为是安全的呢?

Madook

saga3721 发表于 2011-8-26 17:36
那么运行之后HIPS也没有反应的算是中了还是没中呢？为什么HIPS监控不到行为呢？

该样本在某些环境下确实会异常退出，不会发生以上病毒行为，怀疑是病毒自身问题。至于是否中毒，您可以手动对照上面的行为利用工具验证一下，当然最简单的可以装个毒霸试试，呵呵。

Madook

dreams521 发表于 2011-8-26 17:40
对了,最初为什么金山云鉴定会认为是安全的呢?

是我们后台自动鉴定系统的误判，尽管我们在不断提高自动鉴定系统的准确性，但是对于一些特殊样本，误判的问题仍然不可能完全避免，当然我们会继续针对各种发现的情况去进一步强化我们的自动鉴定系统！