看到个好玩的帖子 特转来分享

kk6417380

原文地址http://blog.sina.com.cn/s/blog_5cf244a00100ee0h.html?tj=1

你的电脑也许没装杀毒软件正在“裸奔”，但是当“网游窃贼”四处作案，“熊猫烧香”烟雾缭绕，“灰鸽子”满天飞的时候，你一定会想到病毒专杀工具，你也一定对出击迅速救人于水火的专杀工具的开发过程充满好奇。今天，我以趋势科技中国研发中心开发的WORM_DOWNAD/Conficker专杀工具WadKiller为例，为你揭开她神秘的面纱。

在开发WORM_DOWNAD专杀工具之前，趋势科技已经发布了病毒特征码，能够成功检测并清除WORM_DOWNAD。然而，在对病毒分析的过程中，我们发现WORM_DOWNAD会自动联网进行版本更新，这意味着刚发布的特征码可能对下一个版本的WORM_DOWNAD就失效了。最重要的是，病毒并不需要像趋势科技一样对客户负责，它们可以通过更频繁的更新来逃避杀毒软件的法眼。如果真是这样的话，我们岂不是要永远在后面追？有没有更好的办法来查杀WORM_DOWNAD呢？光想不练假把式，还是先仔细分析分析WORM_DOWNAD到底会做些什么吧。

【友情提示】做专杀工具，首要的事情就是分析病毒。拿到病毒样本后（趋势科技通过客户反馈、蜜罐等各种途径，保证在第一时间拿到病毒样本，并迅速发布解决方案），对病毒的分析分为静态分析和动态分析。所谓静态分析，就是通过IDA等工具反编译程序、破解它们的保护机制以及研究清楚它们的触发条件。而动态分析则是在虚拟机中通过OllyDbg、InstallRite、Process Explorer、Rootkit Buster等工具进一步分析病毒的行为。有些病毒有Anti-VM功能，能自动检测虚拟化环境并停止运行，这时候就需要在真实的实验机器上运行病毒。

通过分析，我们已经知道了WORM_DOWNAD会检测VM的加速功能，所以需要在运行病毒样本前关闭VM的加速功能，如图1所示。
设置好了VM，把WORM_DOWNAD病毒样本运行起来，从InstallRite的记录很容易看出来WORM_DOWNAD在system32目录下生成了一个DLL文件symzrcal.dll，并且在注册表的svchost服务下面加了一项新服务rduktdn（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ netsvcs）。

【友情提示】把病毒样本运行起来后，记得先用趋势科技的免费工具Rootkit Buster检测一下Rootkit。这是因为，如果病毒使用了Rootkit，用其它工具收集到的病毒行为都有可能是Rootkit制造的假象！

用Process Explorer查找，发现并没有进程加载新生成的symzrcal.dll。难道是病毒并没有成功运行？考虑到svchost下面的服务只会在系统重新启动后才会自动运行，重启系统，等待片刻，再用Process Explorer查找，发现还是没有任何进程加载symzrcal.dll。打开IE，连接网站http://www.trendmicro.com，发现网站打不开，符合中毒症状。怪哉！WORM_DOWNAD到底在以一种什么样的方式运行呢？看来需要再仔细分析一下它在DLLMain里干了什么。
老老实实用Ollydbg看汇编吧...此处省略若干小时的浴血奋战…终于发现端倪：这个DLL的DLLMain先在堆上分配了一块内存，然后将一部分要执行的代码拷贝到了这块内存，最后创建线程把这段代码执行起来，DLLMain就返回FALSE了。由于DLLMain返回FALSE，系统认为这个DLL并没有成功加载起来，所以用Process Explorer当然找不到了，而病毒实际上已经运行起来了。好聪明的做法！！…膜拜中…等等，这种线程与普通的正常线程应该不一样吧。我们知道，普通的线程的初始函数都是EXE或DLL文件中的函数，而WORM_DOWNAD创建的这些线程的初始函数却是进程堆中的一个地址。这能否作为我们检测WORM_DOWNAD的一个特征呢？根据经验，我们有充足的理由相信，将来不管WORM_DOWNAD怎么更新，它这个基本的行为特征是不会变的。这不正是我们众里寻他千百度的检测特征吗！？

接下来的事情就比较顺利成章了：分析其它已经出现的WORM_DOWNAD变种，验证我们的想法，开发工具，测试…

【后话】在我们的专杀工具WadKiller发布后，WORM_DOWNAD又出现了新的变种WORM_DOWNAD.F等，WadKiller都能成功查杀！事实证明，根据线程特征来检测WORM_DOWNAD病毒家族确实是一种稳定有效的方法。