From 百度杀毒安全响应中心 _伪QVOD释放者分析

百度杀毒国内版

*病毒标签*

病毒名称：Win32.Trojan-Dropper.Delf.hede
病毒类型：Dropper
文件MD5：8B279BD1BF3AA74106521E76A5118C4E
危害等级：中
感染系统：Windows
开发工具：Borland Delphi 7.0
加壳类型：无

*病毒描述*
该病毒一般通过色情网站传播，欺骗用户观影需下载安装色情播放器，并提示用户杀软会误报此程序，建议关闭杀软。当用户轻信网站提示语并运行病毒后，会显示一个播放器下载窗口，但实际病毒已经被释放并偷偷执行。后台病毒采用输入法注入的方式将自身注入到explorer.exe中，然后用自身替换大量系统文件从而实现自启动，当病毒动态链接库被服务进程svchost.exe加载后将从网络上下载大量木马到用户计算机上，盗取帐号、窃取用户信息。

*病毒行为过程分析*

流程如下：

当病毒文件被执行后，会在系统目录下释放3个文件：QvodPlayer.exe、unfdsahj.exe、klkjdfndsafd.exe，并将3个文件的属性设置为隐藏、系统。然后以这三个文件分别创建进程。具体流程如下：
1.        读取自身文件末尾四个字节，这4个字节代表的是释放文件QvodPlayer.exe的相关信息在病毒文件中的偏移。

2.        根据1得到的偏移获得代表QvodPlayer.exe的相关信息，信息头为0x110个字节，比较重要的是开头的文件名和末尾的文件大小信息，该信息块后面紧跟文件内容。

3.        判断系统目录下是否存在QvodPlayer.exe 文件，如果不存在则创建文件并拷贝数据进去，如果存在则生成随机名，格式如QvodPlayer<int数>.exe。
4.        以释放的文件创建进程。

以释放的文件创建进程
5.        循环执行步骤2、3、4，释放另外两个文件并创建进程。

QvodPlayer.exe的行为分析

QvodPlayer.exe为一个下载者，采用NSpack V3.7进行加壳。
QvodPlayer.exe被执行后，首先创建%windir%\system32\hnetcfg.dll中注册的COM接口304ce942-6e39-40d8-943a-b913c40c9cd4，通过该COM提供的一系列方法将自身加入Windows防火墙允许访问的列表。该操作最终会修改如下的注册表项：

将病毒自身加入防火墙允许访问列表中
然后，从地址http://t.****.net:1288/AA.jpg处下载配置文件，该文件扩展名为一个jpg图片，其实是一个ini格式的配置文件。接下来会将下载的AA.jpg保存为%temp%\qd.ini.

接下来，解析该文件，获取下载链接(已屏蔽)（http://dl****.net:1288/aa/QvodSetupPlus_old.exe），然后下载并安装。下载的文件为一个播放器安装软件。

unfdsahj.exe的行为分析

该程序扮演一个释放者的角色。采用UPX V2.00-V2.90加壳。
当其运行后，首先检测服务DNSProtectSupport是否存在，如果存在则停止服务并删除服务。

接下来创建目录C:\Program Files\DNSProtectSupport，并检测在新建的目录中是否存在svchost.exe和svchost.bak，若存在则删除。
然后读取自身资源，将资源写入文件C:\Program Files\DNSProtectSupport\svchost.exe.bak。然后复制该文件为C:\Program Files\DNSProtectSupport\svchost.exe，之后删除文件svchost.exe.bak。

以新建的文件C:\Program Files\DNSProtectSupport\svchost.exe创建服务DNSProtectSupport并启动该服务。之后进程退出。

创建并启动服务DNSProtectSupport
该病毒在检测到服务运行后采用删除服务然后新建服务，是为了更新服务或者替换现有正常服务。

klkjdfndsafd.exe的行为分析

该文件集中了病毒的主要行为，采用ASPack v2.12加壳，其功能主要分为3大块：
1.        作为exe独立执行，此时采用输入法注入方式向explorer.exe中注入一个dll，该dll为文件klkjdfndsafd.exe添加dll标志位获得；
2.        作为dll加载到explorer.exe中运行。行为有安装病毒携带的驱动，替换声卡驱动的启动服务实现驱动的启动加载，同时用自身替换大量系统服务dll，然后启动相应服务，这样只要相应服务启动，其实就是启动了病毒。
3.        作为dll加载到svchost.exe中运行。此时一般是成功感染了服务，由服务进程svchost加载了病毒dll，此时主要进行网络操作，下载病毒。
病毒执行后，根据栈上的第3个参数判断是独立运行（exe形式）还是被别的进程加载（dll形式）。当作为exe运行时，首先利用SEH故意出错：

接下来，枚举进程，通过检查进程名检测是否存在相关杀软：360tray.exe（360安全卫士），RavMonD.exe（瑞星），kxetray.exe（金山毒霸），MPSVC.exe（微点）。并保存explorer.exe的进程PID。
接下来，创建一个文件名，规则为：随机串+explorer PID(%.04x)+.dat。根据版本号得到临时目录，合成全路径：%TEMP%随机串+explorer PID(%.04x)+.dat。
保存桌面截图到文件%TEMP%/随机数(%.08X).log。
然后采用GDIplus提供的功能，将主机桌面的截图保存在临时目录下一个后缀为log的文件中。
然后，写文件%TEMP%/Infortmp.txt，该文件内是二进制信息，信息包括：
1.        前面生成的.dat文件全路径。
2.        service pack号。
3.        截图的路径。
4.        本身exe的路径。

接下来，读取自身，在PE头中添加DLL标志位，写入文件%TEMP%随机串+explorer PID(%.04x)+.dat。


从分析可以看到，必要时会关闭微软的WFP(Windows File Protection)。并会修改文件的3个时间。如下图所示：

然后采用inline的方式HOOK函数imm32.dll！ImmloadLayout，HOOK完成后调用LoadKeyboardLayout来加载键盘布局。这里关键的点在于LoadKeyboardLayout内部会调用imm32.dll！ImmloadLayout，该函数将会向其第二个参数指向的缓冲区写入一个输入法dll文件的路径。病毒通过HOOK函数ImmloadLayout，将这个dll路径指向ddjrwA0650.dat。（..\..\DOCUME~1\PC\LOCALS~1\Temp\ddjrwA0650.dat，考虑了文件必须在system32目录下）
接下来向explorer.exe发送两次WM_INPUTLANGCHANGEREQUEST消息，使explorer.exe切换输入法的时候加载病毒dll（即之前释放的ddjrwA0650.dat文件）。然后病毒等待事件Global\{84E7B294-D972-4647-A3B9-06450BCE5C1E}被触发（ddjrwA0650.dat被explorer.exe加载后会触发该事件，使注入进程退出）。然后就进程退出。
下面分析klkjdfndsafd.exe变成dll后的行为。
当判断自身是作为dll加载时则进出dll执行流程。
获取宿主进程的文件名，若在360软件管家进程中，则调用ExitProcess结束宿主进程。
当判断自身在explorer进程中时，首先触发事件Global\{BBBA31F1-5279-439e-A516-DD69FC44EC2E}，使注入进程退出。
读入文件Infortmp.txt中的内容，获得之前保存的信息。
根据读入的信息，判断是否存在微点主动防御进程，若存在则释放驱动。
释放驱动的方法如下：
1.        读取资源101，然后解密，解密完是一个驱动文件。
2.        随机生成一个文件名，如zbdXpTdMB。
3.        将驱动文件写入%system32%\zbdXpTdMB.sys。
4.        以之前生成的随机名创建服务并启动之。
其中步骤3、4的操作是单独创建了线程以shellcode来完成这些操作的。目的是为了隐藏模块。
等待线程执行结束后，尝试n次打开设备对象\\\isStory，打开成功后将句柄保存到全局变量中备用。
如果驱动安装失败，将执行一次提升权限的操作（获得SeLoadDriverPrivilege权限），再次安装驱动。
驱动安装成功后，在次检测微点在不，在的话会使用ZwQuerySystemInformation获得nt模块的路径，然后用LoadLibrary加载，或的nt模块中如下一些函数的地址发给驱动：MmGetSystemRoutineAddress，KeInitializeApc，KeInsertQueueApc，IoGetAttachedDevice，MmFlushImageSection。从导出函数KeInsertQueueApc中搜索未导出函数KiInsertQueueApc的地址。将这些地址都发给你驱动。
这里有一系列和驱动通信的操作，目的是通过插入APC的方式关闭杀软进程。
接下来病毒替换大量正常的服务dll，并启动相应的服务，使病毒被svchost.exe加载起来。每次替换并启动一个服务，就会在事件Global\{63D76C7E-55E9-4563-93C1-B5697CBB2A8D}上等待，病毒被服务加载后会触发该事件。会被感染的服务包括：Schedule，helpsvc，CryptSvc，Nla，Netman，xmlprov，WmdmPmSN，mspmsnsv，FastUserSwitchingCompatibility，Ntmssvc， BITS，AppMgmt，EventSystem，Tapisrv，Browser。
服务感染完成后，会创建一个线程，执行在svchost中进行的操作。本线程退出。
当在svchost中被加载时，首先触发事件Global\{63D76C7E-55E9-4563-93C1-B5697CBB2A8D}通知注入端。然后读取文件infortmp.txt。infortmp.txt保存了之前的.dat文件的路径，这里会尝试删除这个文件。
然后删除注册表键SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal。使用户无法进入安全模式。
创建一个线程，该线程会创建5个线程执行网络等相关操作。然后本线程循环检测360tray,杀死360。
病毒在下载木马文件之前会循环解析baidu.com的域名，判断网络连通性，当网络没有问题时，病毒会下载一系列的病毒到本机运行，以下为下载地址(已屏蔽)：
http://up.qvod*****.com:799/xiazai.rar这是一个exe。
http://121.14.***.***:799/ccjj/1.exe（广东省东莞市电信）
。。。
http://121.14.***.***:799/ccjj/4.exe
到此病毒完成了其功能。


                百度杀毒安全响应中心提示：建议广大网民从正规网站下载安装软件，当杀毒软件报警时，不要轻信网站的建议去关闭杀毒软件。******************（推广言辞已屏蔽）可达到有效防御此病毒的目的。

784696777

哇，百度官人

Flameocean

图片都挂了，貌似原文是有图片的啊，官人把图片贴上去啊

仯釕↘①訜執著

最后一句算推广吗

imetoo

呵呵 不去百度搜索里推广改卡饭发帖推广了 你当这里都是小白还是LZ就是个小白呢

史前叫兽

用着挺不错的！支持！

樂言为樂

快播，你懂的

卡巴专家

求样本

80后壮汉

度娘真是神通广大，杀毒也来了，不错不错

ForeverX

推广？