专伤浏览器、会“自杀”的***病毒样本简单分析

此病毒预警是由国家计算机病毒应急处理中心近期发布的，该病毒会自我删除进行隐藏，还会向IE收藏夹中释放URL快捷方式，并篡改IE首页和下载其他***、病毒等恶意程序。本文对此病毒进行了分析。此病毒预警是由国家计算机病毒应急处理中心近期发布的，内容如下：近期出现一种恶意***病毒，该程序会自我删除进行隐藏，向IE的收藏夹中释放URL资源地址快捷方式，强行篡改IE主页并下载其他***、病毒等恶意程序。下面我们就简单分析一下这个病毒样本。病毒样本简介File：dndSet0.exeSize：482kbMD5：2204C5FA2F840C5C02605E9F628F8016瑞星v16：Trojan.Win32.Generic.149277E0病毒样本截图如图1所示，既然是国家计算机病毒应急处理中心发布的预警，瑞星v16当然肯定可以查杀此病毒样本，瑞星v16查杀该样本如图2所示。

图1：病毒样本

图2：瑞星v16查杀此病毒样本病毒行为分析本例讲解的病毒行为分析中所用到的工具是mymonitor，这是一款基于病毒API监控的工具，可以实现对于病毒程序运行过程的全程跟踪分析，并根据分析出的病毒行为得出分析报告，其特点包括：1、反映全部进程及子进程的API调用，2、查看文件读写、删除情况，3、查看注册表读写，4、线程模块调用，工具运行界面如图3所示。

图3：MyMonitor工具界面如图3所示，我们简单介绍一下这个工具。这个工具运用起来很简单，界面分左右及上下共三个窗口，左侧窗口列出的是当前系统所有进程，右侧窗口是监控窗口，可以将我们要分析的样本直接拖到这个窗口。拖入这个窗口后病毒就会跑起来，而下面的日志窗口就会记录一些病毒的行为。工具运行后默认就处于监控状态，在使用这个工具前，我们要先来进行简单的设置，如设置保存删除文件的路径及生成报告的保存路径等，如图4所示。

图4：MyMonitor工具设置界面设置好之后我们就可以将病毒样本拖到右侧的窗口，需要提醒一下的是，此工具最好在虚拟机下使用，以免实机运行后导致系统中毒。接下来，我们将本例病毒样本dndSet0.exe直接拖入右侧窗口，如图5所示，MyMonitor对病毒样本进入监控状态。

图5：MyMonitor对病毒样本的监控为了更好地展示病毒行为，我们对MyMonitor工具事先做了设置，勾选创建进程前询问。随后我们将本例病毒样本dndSet0.exe直接拖入右侧窗口，MyMonitor工具立即弹出创建新进程的提示，如图6所示。

图6：MyMonitor工具弹出进程创建提示根据MyMonitor工具提示，我们简单分析一下病毒行为，首先，dndSet0.exe要在系统临时目录下创建dndTMP文件夹，并向此文件夹下写入Fav~Url.tmp文件。当然，为了继续监控病毒行为，在这里我们点击是，也就是允许创建，允许创建后我们看一下MyMonitor工具后续又监控到了哪些病毒行为，如图7所示。

图7：Fav~Url.tmp向系统收藏夹下写入大量的url快捷方式病毒行为之一：如上图所示，Fav~Url.tmp在向系统收藏夹写入如淘宝购物、驴家旅游等url快捷方式，主要用来对网站进行推广。如图8所示，显示出系统IE浏览器的收藏夹下被写入的推广网站的url快捷方式。

图8：IE浏览器收藏夹被写入大量的推广网站url快捷方式Fav~Url.tmp在写入大量的推广网站url快捷方式之后就退出了，mymonitor工具监视到Fav~Url.tmp退出如图9所示。

图9：mymonitor监控到的Fav~Url.tmp退出行为Fav~Url.tmp退出之后，mymonitor又监控到了病毒另一行为，如图10所示，调用命令行，并以隐藏命令行窗口的方式执行命令：C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx。

图10：mymonitor监控到的新的创建进程行为根据命令提示大致可以猜测出病毒是想将系统临时目录下的fbinst.dll拷贝到C:\WINDOWS\dndOnce\并命名为SUPPORT.IM_，同样，为了继续观察病毒行为，在这里我们点击是，如图11所示，mymonitor监控到病毒行为。

图11：mymonitor监控到执行结果在执行C:\WINDOWS\system32\cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fbinst.dll "C:\WINDOWS\dndOnce\SUPPORT.IM_" output IMG/* %~nx命令行之后，mymonitor又监控到了病毒以隐藏命令行窗口的方式执行命令C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f，修改IE主页为http://www.hao123.com.vc，如图12所示。

图12：修改IE主页为http://www.hao123.com.vc同样在这里点击是，允许病毒修改IE主页，点击是之后，我们来查看一下主页，如图13所示，IE浏览器主页被修改为http://www.hao123.com.vc，最终访问到的地址为http://www.hao123.com/?tn=43061099_195_hao_pg。

图13：IE主页被修改为http://www.hao123.com/?tn=43061099_195_hao_pg简单解释一下图12的命令行。首先，病毒以隐藏命令行窗口的方式执行了“以发送50次回显请求数”，ping -n 50指ping时发送包的次数，这里为50次，本机回环地址为127.0.0.1，C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 50这个命令行完成之后，使用reg注册表命令执行强制修改主页为http://www.hao123.com.vc，也就是“
® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f”这段命令行。符号“&”应该是并列执行的意思，可以理解为：1. 执行C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 502. 执行C:\WINDOWS\system32\cmd.exe /c reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.hao123.com.vc" /f我们接下来再看看病毒在修改IE主页后又有哪些行为，mymonitor监控到病毒又执行了同样ping本机回环地址127.0.0.1还是50次，如图14所示。这里为什么又执行了ping的操作？估计应该是休眠延时，等待一会再执行后续的动作。

图14：执行ping操作在成功执行ping操作后，mymonitor监控到病毒执行了自杀（删除病毒母体），同样还是隐藏命令行窗口方式“C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3&del /q "C:\Documents and Settings\Administrator\桌面\dndSet0.exe"”，如图15所示。

图15：病毒执行删除病毒母体操作在执行完删除病毒母体后，mymonitor未再有任何创建新进程的提示，也没有联网动作，看来是病毒执行完了，我们可以重启一下电脑，查看一下是否还有其他病毒行为。重启电脑发现只是IE主页被修改，IE收藏夹被写入大量推广网站的url快捷方式，接下来讲解一下病毒手动处理。病毒处理这个病毒行为很少，处理起来也相对简单，我们直接使用瑞星安全助手就可以搞定了。使用瑞星安全助手的电脑修复工具，扫描出IE主页注册表权限异常，如图16所示。

图16：瑞星安全助手扫描出IE主页异常勾选此项，点立即修复，如图17所示，修复成功。

图17：使用瑞星安全助手成功修复IE异常主页接下来使用瑞星安全助手的IE主页保护功能锁定一下自己喜欢的主页，这里推荐hao.rising.cn，如图18、19所示。

图18：使用瑞星安全助手锁定主页

图19：锁定IE主页为http://hao.rising.cn最终IE主页被修改成功如图20所示。

图20：IE主页锁定成功接下来再手动删除病毒在收藏夹里添加的推广网站url快捷方式，如图21所示。

图21：删除ie收藏夹里网站推广url快捷方式手动删除IE收藏夹网站推广url后，IE收藏夹变得清爽多了，如图22所示。

图22：成功修复IE收藏夹