天臺人滿為患，不如來看下這個Ramnit蠕蟲分析

本文轉載自“FreeBuf.COM ”，原文作者：gechengyu
　　今年的世界杯越來越看不懂，想去天臺吹吹風都不一定有位置，心涼了，事兒還得做，先從網上抓個可疑樣本壓壓驚!上手分析才發現并沒有我想得那么簡單……

　　一、基本信息

　　拿到可疑文件第一時間扔到“虛擬執行環境”中先讓它自己可勁兒折騰一番，咱只需要坐在老板椅上，翹著二郎腿，喝著茶，唱著歌，沒一會兒功夫分析報告就出來啦~

▲圖：流程圖

　　2.1 首先使用 PEid 查殼，發現具有 UPX 殼，UPX 殼比較好脫，T 友們可以自行脫殼。

　　2.2 過了一層殼之后，接著又是一段解密代碼，一直走下去，最終又會回到 0×00400000 地址段中，你會發現，和源程序一樣，是經過 UPX 加殼的。

　　2.3 依照同樣的方法跳過 UPX 殼后，就進入到樣本的主體程序。

　　樣本首先會查詢系統默認的瀏覽器路徑，如果查詢失敗就使用IE瀏覽器(后期用來進行進程注入)，如果兩個方法都失敗，就會退出程序。

　　2.4 通過檢查互斥體 KyUffThOkYwRRtgPP 是否已經存在來保證同一時間只有一個實例在運行。

　　2.5 進程名校驗，樣本會首先判斷自己的進程名是否為 DesktopLayer.exe，如果是的話，就退出此函數，如果不是，就會構造 c:program filesmicrosoft 目錄，然后將自身拷貝的此目錄下，并命名為 DesktopLayer.exe，然后啟動此程序。

　　2.6 當自身進程名為 DesktopLayer.exe 時，將會對函數 ZwWriteVirtualMemory 進行 Inline Hook，回調函數如下：

　　2.7 接著創建進程，此進程為開頭獲得的瀏覽器進程，在進程創建時會調用 ZwWriteVirtualMemory 函數，而這個函數已經被 hook 并跳轉到 sub_402A59，此函數的主要功能就是對啟動的目標進程進行進程注入，并將一個 PE 文件寫入目標進程，寫入的 PE 文件原本是嵌入在自身文件中的。使用 16 進程程序可以發現，脫殼后的樣本中嵌入的 PE。

　　2.8 注入完之后會還原 ZwWriteVirtualMemory 的代碼。

　　三、詳細分析

　　經過這么多的操作，其實它的重點行為才剛剛開始。

　　3.1 使用 OD 附加到目標程序，經過幾個函數的調用就會進入到嵌入的 PE 文件中，程序結構比較清晰。

　　3.2 創建不同的線程執行不同的功能，下面對其中幾個比較重要的線程進行說明：

　　Sub_10007ACA：將自身文件路徑寫入注冊表

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit，實現自啟動。

　　Sub_1000781F：在 c:program filesInternet Explorer 下創建 dmlconf.dat 文件，并寫入 FILETIME 結構體數據。

　　Sub_10005906：此線程沒有被運行，不過通過對代碼的靜態分析，發現它會監聽 4678 端口，等待連接。收到連接后會接受命令并執行對應的操作。所以猜測此線程為一個后門，用來接收攻擊者的命令。

　　Sub_1000749F：此函數中會創建兩個線程。

　　其中 Sub_10006EA8 用于感染 exe，dll，html，htm文件，總體思路都是將自身文件寫入到目標文件中，例如下圖感染的 htm 文件。寫入的是一個 VB 腳本，變量 WriteData 存儲的是一個 PE 文件。

　　受感染的 PE 文件會多處一個 rmnet 段。

　　Sub_10006EC2：感染可移動介質，他會將自身寫入到可移動介質，并在目錄下創建 autorun.ini 文件，然后寫入如下數據：

　　[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe

　　其中 AbxOgufK.exe 即為自身程序。分析過程中發現的域名 fget-career.com，經查詢得知為惡意域名。

　　四、總結

　　深知自己分析能力有限，其實就是想拋塊磚嘛(內心無比的鄙視自己…)，樣本分析是個技術活，也要耐得住寂寞，沒有一款解悶的好工具怎么行?這次用的云沙箱提前為我多維度的檢測樣本，省力又省心，感興趣的朋友可以多用用哈~

　　P.S. 天臺上的 T 友們快下來吧!這么多惡意軟件等著你們來分析呢!世界需要你們來守護~

　　也可以直接查看分析報告，繼續深度分析，報告地址如下：

　　fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320