Word/Excel文档伪装病毒-kspoold.exe分析
一、 病毒樣本基本信息
樣本名稱:kspoold.exe
樣本大小: 285184 字節(jié)
樣本MD5:CF36D2C3023138FE694FFE4666B4B1B2
病毒名稱:Win32/Trojan.Spy.a5e
?
計(jì)算機(jī)系統(tǒng)中了該病毒一個(gè)比較明顯的特征就是U盤里的.doc、.xls文件會(huì)被病毒隱藏起來(lái),變成kspoold.exe病毒的載體文件,誤導(dǎo)用戶以為是原來(lái)的.doc、.xls文件達(dá)到傳播病毒的目的,用戶運(yùn)行該kspoold.exe的載體病毒以后,病毒母體kspoold.exe就會(huì)駐留到用戶的電腦里。
?
二、 隱藏了.doc、.xls文檔的衍生病毒的具體行為
1.從該樣本文件的資源中獲取名稱為"UKURAN_EKSTRAKTO"的資源數(shù)據(jù),然后解密該數(shù)據(jù)。
2.創(chuàng)建文件C:\WINDOWS\system32\kspoold.exe釋放到系統(tǒng)目錄C:\WINDOWS\system32下,并運(yùn)行病毒母體文件kspoold.exe。
3.在該病毒樣本的目錄下,釋放出原來(lái)正常的.doc、.xls文件
4.調(diào)用函數(shù)ShellExecuteA打開原來(lái)被隱藏的.doc、.xls文件,給用戶造成假象。
5.通過(guò)字符串"COMSPEC"在系統(tǒng)的環(huán)境變量中查找到系統(tǒng)cmd.exe程序的路徑"C:\\WINDOWS\\system32\\cmd.exe"
6.調(diào)用函數(shù)ShellExecuteA在"C:\\WINDOWS\\system32\\cmd.exe"中,執(zhí)行命令"/c del?\新建Microsoft Word 文檔.exe\"刪除 kspoold.exe的載體病毒例如”新建 Microsoft Word 文檔.exe “文件自身。
三、 病毒母體kspoold.exe的具體行為
1.?? 創(chuàng)建可執(zhí)行文件C:\WINDOWS\system32\avmeter32.dll和C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UninstallLog.dat。
2.?? 創(chuàng)建下面幾個(gè)關(guān)鍵的注冊(cè)表:
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
?
3.?? 創(chuàng)建系統(tǒng)服務(wù)kspooldaemon, C:\WINDOWS\system32\kspoold.exe然后啟動(dòng)該系統(tǒng)服務(wù)kspooldaemon,系統(tǒng)服務(wù)kspooldaemon的作用是守護(hù)病毒母體進(jìn)程kspoold.exe,它會(huì)實(shí)時(shí)的查詢病毒母體進(jìn)程kspoold.exe是否存在,一旦病毒母體進(jìn)程kspoold.exe不存在,它就會(huì)馬上創(chuàng)建病毒母體進(jìn)程kspoold.exe。
?
4.?? 遍歷系統(tǒng)所有程序的進(jìn)程,找到資源管理器進(jìn)程explore.exe,然后創(chuàng)建遠(yuǎn)程線程注入釋放的C:\WINDOWS\system32\avmeter32.dll文件到資源管理器進(jìn)程explore.exe中。
?
5.?? 獲取用戶操作系統(tǒng)的磁盤類型,針對(duì)用戶的U盤里的.doc文件和.xls文件進(jìn)行病毒感染處理,具體的感染處理是獲取.doc文件和.xls的文件的圖標(biāo),然后再重新構(gòu)造一個(gè)和原來(lái)的.doc文件或者.xls文件同名并且圖標(biāo)是一樣的載有病毒母體kspoold.exe的.EXE文件。
?
6.?? 獲取用戶操作系統(tǒng)的鍵盤布局信息以及設(shè)置鍵盤的消息鉤子,對(duì)用戶的鍵盤消息進(jìn)行監(jiān)聽,記錄用戶的鍵盤按鍵的輸入信息。
四、 kspoold.exe病毒專殺的編寫思路
1.?? 關(guān)閉并刪除 kspooldaemon系統(tǒng)服務(wù)以及刪除C:\WINDOWS\system32\kspoold.exe文件。
2.?? 遍歷系統(tǒng)里的所有程序的進(jìn)程,查找到kspoold.exe進(jìn)程然后結(jié)束它。
3.?? 刪除下面幾個(gè)注冊(cè)表:
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"
4.?? 刪除C:\WINDOWS\system32\avmeter32.dll文件。
5.?? 遍歷進(jìn)程explorer.exe的進(jìn)程模塊,卸載掉avmeter32.dll模塊或者直接結(jié)束掉explorer.exe進(jìn)程然后重新創(chuàng)建explorer.exe進(jìn)程。
6.?? 對(duì)kspoold.exe衍生病毒的處理,先通過(guò)下面的方法提取隱藏的.doc、.xls文件,然后再刪除該kspoold.exe衍生病毒文件。
?
五、 隱藏的.doc、.xls文檔的恢復(fù)方法
1.??被kspoold.exe衍生病毒隱藏的.doc、.xls文件的文件格式保存在該病毒文件的文件偏移Offset=0x50C14的位置的4個(gè)字節(jié)。
2.??獲取kspoold.exe衍生病毒文件的文件偏移Offset=0x50E23至該病毒文件末尾的所有數(shù)據(jù)即可提取到被該病毒隱藏的.doc、.xls文件。
3.? 對(duì)于被kspoold.exe衍生病毒隱藏的.doc、.xls文件即可以手動(dòng)通過(guò)WinHex.exe工具提取到也可以自己寫個(gè)程序來(lái)實(shí)現(xiàn).doc、.xls文件的提取。
4. ?隱藏.doc、.xls文件的kspoold.exe衍生病毒里有兩個(gè)PE文件。
在隱藏.doc、.xls文件的kspoold.exe衍生病毒文件的文件偏移Offset=0xB214位置是第2個(gè)PE文件的起始位置,其實(shí)該P(yáng)E文件就是病毒母體文件kspoold.exe,只是病毒母體文件kspoold.exe的最后4個(gè)字節(jié)被用來(lái)保存被隱藏的.doc、.xls文件的文件格式,如.doc、.xls即該P(yáng)E文件的結(jié)束位置是文件偏移Offset=0x50C17位置。
5.??kspoold.exe衍生病毒文件的數(shù)據(jù)組成示意圖,從上到下即對(duì)應(yīng)從文件頭到文件尾。
六、 kspoold.exe病毒手動(dòng)查殺方案
1.打開火眼XueTr工具,切換到火眼工具的服務(wù)選項(xiàng),查看服務(wù)列表中有沒(méi)有一個(gè)名稱為kspooldaemon的服務(wù)。
如果有,右鍵選擇該服務(wù)啟動(dòng)項(xiàng),先選擇“停止”停止該服務(wù),然后選擇“刪除服務(wù)”刪除該服務(wù)。
?
2.切換到進(jìn)程選項(xiàng),查看用戶的進(jìn)程列表,看進(jìn)程列表里有沒(méi)有名稱為kspoold.exe的偽打印驅(qū)動(dòng)進(jìn)程;如果有,右鍵選中該進(jìn)程,選擇“強(qiáng)制結(jié)束進(jìn)程并刪除文件”項(xiàng),結(jié)束進(jìn)程。
?
3.在用戶的進(jìn)程列表中找到資源管理器進(jìn)程explore.exe結(jié)束掉該進(jìn)程。
4.如果U盤已經(jīng)被感染,不要將U盤從電腦上拔下,保持U盤的原來(lái)狀態(tài);經(jīng)過(guò)上面3步操作以后,對(duì)U盤進(jìn)行格式化處理就可以了,文件自然丟失。
?
注意:在進(jìn)行該病毒手動(dòng)清除的時(shí)候,要記得使用火眼工具查看進(jìn)程和服務(wù)列表,并且一定要先停止kspooldaemon服務(wù),然后再結(jié)束病毒進(jìn)程kspoold.exe,順序不能反過(guò)來(lái),否則kspoold.exe病毒進(jìn)程是結(jié)束不掉的。
?
七、 kspoold.exe病毒的總結(jié)
kspoold.exe病毒并不是比較新的病毒,早在2012年的時(shí)候,就有病毒安全公司收集到該樣本,至于是哪個(gè)安全公司就不提了,自行百度,并且該安全公司將該病毒劃歸為木馬病毒的范疇。經(jīng)過(guò)對(duì)該病毒的分析發(fā)現(xiàn),雖然該病毒有獲取系統(tǒng)鍵盤布局以及為鍵盤消息設(shè)置鉤子等行為,將該病毒歸為木馬病毒還是有點(diǎn)不準(zhǔn)確,但是還是遵循病毒安全公司的病毒命名方式,姑且將該病毒歸為木馬病毒。
?
?轉(zhuǎn)載請(qǐng)保留本文鏈接地址:http://blog.csdn.net/qq1084283172/article/details/45913511
總結(jié)
以上是生活随笔為你收集整理的Word/Excel文档伪装病毒-kspoold.exe分析的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 一个DDOS病毒的分析(二)
- 下一篇: 感染性的木马病毒分析之样本KWSUpre