天台人滿為患，不如來看下這個Ramnit蠕蟲分析

本文轉載自“ ”，原文作者：gechengyu
　　今年的世界盃越來越看不懂，想去天台吹吹風都不一定有位置，心涼了，事兒還得做，先從網上抓個可疑樣本壓壓驚!上手分析才發現並沒有我想得那麼簡單……

　　一、基本資訊

　　拿到可疑檔案第一時間扔到“虛擬執行環境”中先讓它自己可勁兒折騰一番，我們只需要坐在老闆椅上，翹著二郎腿，喝著茶，唱著歌，沒一會兒功夫分析報告就出來啦~

▲圖：雲沙箱報告截圖

　　簡單看下報告的概要資訊，有 Ramnit 標籤。Ramnit 蠕蟲是一種透過可移動驅動器傳播的蠕蟲。該蠕蟲還可以作為後門，允許遠端攻擊者訪問受感染的計算機，通常會寄生在使用者的瀏覽器中，難以察覺，因此每天都有數以萬計的使用者受其困擾。

　　二、行為分析

　　上手之前準備工作要做足，先梳理下流程：

▲圖：流程圖

　　2.1 首先使用 PEid 查殼，發現具有 UPX 殼，UPX 殼比較好脫，T 友們可以自行脫殼。

　　2.2 過了一層殼之後，接著又是一段解密程式碼，一直走下去，最終又會回到 0×00400000 地址段中，你會發現，和源程式一樣，是經過 UPX 加殼的。

　　2.3 依照同樣的方法跳過 UPX 殼後，就進入到樣本的主體程式。

　　樣本首先會查詢系統預設的瀏覽器路徑，如果查詢失敗就使用IE瀏覽器(後期用來進行程式注入)，如果兩個方法都失敗，就會退出程式。

　　2.4 透過檢查互斥體 KyUffThOkYwRRtgPP 是否已經存在來保證同一時間只有一個例項在執行。

　　2.5 程式名校驗，樣本會首先判斷自己的程式名是否為 DesktopLayer.exe，如果是的話，就退出此函式，如果不是，就會構造 c:program filesmicrosoft 目錄，然後將自身複製的此目錄下，並命名為 DesktopLayer.exe，然後啟動此程式。

　　2.6 當自身程式名為 DesktopLayer.exe 時，將會對函式 ZwWriteVirtualMemory 進行 Inline Hook，回撥函式如下：

　　2.7 接著建立程式，此程式為開頭獲得的瀏覽器程式，在程式建立時會呼叫 ZwWriteVirtualMemory 函式，而這個函式已經被 hook 並跳轉到 sub_402A59，此函式的主要功能就是對啟動的目標程式進行程式注入，並將一個 PE 檔案寫入目標程式，寫入的 PE 檔案原本是嵌入在自身檔案中的。使用 16 程式程式可以發現，脫殼後的樣本中嵌入的 PE。

　　2.8 注入完之後會還原 ZwWriteVirtualMemory 的程式碼。

　　三、詳細分析

　　經過這麼多的操作，其實它的重點行為才剛剛開始。

　　3.1 使用 OD 附加到目標程式，經過幾個函式的呼叫就會進入到嵌入的 PE 檔案中，程式結構比較清晰。

　　3.2 建立不同的執行緒執行不同的功能，下面對其中幾個比較重要的執行緒進行說明：

　　Sub_10007ACA：將自身檔案路徑寫入登錄檔

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit，實現自啟動。

　　Sub_1000781F：在 c:program filesInternet Explorer 下建立 dmlconf.dat 檔案，並寫入 FILETIME 結構體資料。

　　Sub_10005906：此執行緒沒有被執行，不過透過對程式碼的靜態分析，發現它會監聽 4678 埠，等待連線。收到連線後會接受命令並執行對應的操作。所以猜測此執行緒為一個後門，用來接收攻擊者的命令。

　　Sub_1000749F：此函式中會建立兩個執行緒。

　　其中 Sub_10006EA8 用於感染 exe，dll，html，htm檔案，總體思路都是將自身檔案寫入到目標檔案中，例如下圖感染的 htm 檔案。寫入的是一個 VB 指令碼，變數 WriteData 儲存的是一個 PE 檔案。

　　受感染的 PE 檔案會多處一個 rmnet 段。

　　Sub_10006EC2：感染可移動介質，他會將自身寫入到可移動介質，並在目錄下建立 autorun.ini 檔案，然後寫入如下資料：

　　[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe

　　其中 AbxOgufK.exe 即為自身程式。分析過程中發現的域名 fget-career.com，經查詢得知為惡意域名。

　　四、總結

　　深知自己分析能力有限，其實就是想拋塊磚嘛(內心無比的鄙視自己…)，樣本分析是個技術活，也要耐得住寂寞，沒有一款解悶的好工具怎麼行?這次用的雲沙箱提前為我多維度的檢測樣本，省力又省心，感興趣的朋友可以多用用哈~

　　P.S. 天台上的 T 友們快下來吧!這麼多惡意軟體等著你們來分析呢!世界需要你們來守護~

　　也可以直接檢視分析報告，繼續深度分析，報告地址如下：