一、 样本基本信息
样本名称:927354529512.scr
样本大小:110592 字节
病毒名称:Win32.Trojan.Ctb-locker.Auto
样本MD5值:3A6D7E551C132AC4C40D95394938F266
二、 样本脱壳
该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的,和前面提到的情况一样,病毒依然在程序的代码指令中加入了比较多的垃圾指令,有可能是敲诈者病毒的心态有点急了。4月份出现的敲诈者病毒没之前的病毒的加固措施做得好,但是病毒脱壳的方法和前面博客提到的一样,依然是在函数VirtualProtect和VirtualProtectEx的地方下断点,实现一键手动Dump脱壳。
三、 样本行为预览
1. 在临时文件目录创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wujip.cab,其中.cab文件的名称是随机产生的,解压提取该.cab文件的.rtf文件并修改.rtf文件名称与当前模块的名称相同,然后运行该.rtf文件迷惑用户。
2. 解密字符串生成下载病毒的网址,与下载病毒的网址进行网络连接,获取需要的网络数据,基于这些网络数据在系统临时文件目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下生成guroga.exe病毒文件,并且.exe病毒文件的名称是随机产生的,然后运行guroga.exe病毒文件并删除guroga.exe病毒文件,加密用户文档等资料的正是下载的guroga.exe病毒文件。
3. 下载病毒的网址,如下:
lasertek.com.sg/icon/run.jpg
shaneproject.org.uk/docs/run.jpg
vesterlin.eu/stats/run.jpg
empuriadata.es/run.jpg
puntocan.com/derutamadre/run.jpg
finam.net/run.jpg
lars-laursen.dk/joomla/run.jpg
malagadetectives.es/images/run.jpg
4. CTB-Locker敲诈者病毒下载器连外网下载病毒的行为是循环进行的,只要有一次连外网下载加密用户文档等资料的病毒文件成功并运行,它就会退出进程,如果没有下载加密病毒成功,它继续连外网进行病毒的下载行为。在调试的过程发现,CTB-Locker敲诈者病毒下载器下载到系统临时文件目录的病毒文件目前发现的有3种分别是981kb、743kb、851kb,从CTB-Locker敲诈者病毒出现以来,这3个加密用户文档等资料的病毒文件是没有变化的,只是名称是随机的。
四、 样本行为具体分析
1. 获取系统的临时文件路径以及获取当前模块中的"DATA"类型的资源。
2. 在系统临时文件路径下创建名称随机的.cab文件如:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zoviqagyh.cab。
3. 调用函数SetupIterateCabinetW解压.cab文件,获取.rtf文件并运行该与当前模块同名的.rtf文件。
4. 创建互斥量"xgheaouo",防止下载病毒的行为重复进行。
5. 解密内存字符串得到下载加密病毒的网址,连接外网下载加密用户文档资料的病毒文件的数据。
在乎的是沿途的风景以及看风景的心情,让心灵去旅行!
