【PC样本分析】xeirib.exe样本分析

1. 概述
无意间发现电脑中存放的一个样本，不知是从哪里搞过来的，趁着这段时间有时间就学习分析一下，提升病毒分析能力，同时也借由这个样本，与论坛各位大神学习交流；
由于分析完后才发现这是一个PE_SALITY病毒，网上也有相关报告，想了想要不要写一篇帖子发出来，最后也还是决定写一篇帖子发出来，毕竟是自己独立完成的样本分析，也是在论坛的第一篇帖子，如有不足之处，还望大家指出。
1.1. 相关文档
【病毒科普】Sality病毒独家解密：
http://bbs.duba.net/thread-22945031-1-1.html
Windows共享内存示例：
http://www.cnblogs.com/dongsheng/p/4460944.html
1.2. 基本信息
文件名称：xeirib.exe
文件大小：103140 字节
MD5     ：A29F74A8B25B04750EBC00662C386819
SHA1    ：1EFED493F2BA718255067C7A9CE5C487484F870F
CRC32   ：EC86CFBA
1.3. 病毒查杀
大部分杀毒软件都可以查杀，毕竟是很久以前的病毒了。
2. xeririb.exe分析
查壳显示为“Safeguard 1.03 -> Simonzh [Overlay] *”，鉴于对脱壳不是很了解，就直接OD看看吧；发现样本xeririb.exe（基地址：0x400000）将对0x402316处数据进行解密，解密完成后，直接运行0x402316处代码；
静态提取代码对比如下：


3. xeirib.exe_1分析
3.1. 获取LoadLibraryEx调用地址样本将读取系统“kernel32.dll”的PE结构，获取LoadLibraryExA、GetProcAddress函数地址；
相关代码：


3.2. 动态获取API
样本将循环获取API调用地址；
相关函数代码：

API列表:

3.3. 命名的内存映射文件对象
样本将调用CreateFileMappingA函数创建命名的内存映射文件对象：
purity_control_90833
hh8geqpHJTkdns0
调用MapViewOfFile得到共享内存的指针，并将相关数据写入；
3.4. 线程
创建线程，线程函数地址为“0x4029e8”，创建成功后，样本将Sleep，运行线程函数；
3.4.1. 互斥对象
调用CreateMutex创建互斥对象“uxJLpe1m”，用于确定当前系统是否已经存在指定进程的实例。
3.4.2. 释放PE
调用VirtualAlloc申请内存，并将样本中隐藏的PE文件复制至内存地址(0xA00000)中；
3.4.3. 动态获取API
样本将循环获取API调用地址
相关代码如下：

3.4.4. 修改内存属性
新复制的PE文件内存在0xA00000，样本将相关内存属性修改为可执行模式；

3.4.5. 运行主体代码
样本将跳转至0xA0ED35处，此地址即为样本主体代码处；
4. 00A00000.mem分析
由于直接dump出来的文件使用 IDA 反编译不能显示API，因此通过添加结构体的方式来查看相应的API，具体情况可查看idb文件中的结构体。
4.1. 主线程
主线程中将创建多个线程进行不同的操作；
4.1.1. 注册表相关操作

• 隐藏文件或文件夹
  

HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden        2
不显示隐藏的文件和文件夹

• 取消安全中心警告和Update（XP、Win7）
  

HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiVirusDisableNotify        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\FirewallDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\UpdatesDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiSpywareOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\AntiVirusOverride        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\FirewallOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\UacDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiVirusDisableNotify        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\FirewallDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\UpdatesDisableNotify                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiSpywareOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\AntiVirusOverride        1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\FirewallOverride                1
HKLM\\SOFTWARE\\Microsoft\\Security Center\\Svc\\UacDisableNotify                1

• 解除IE脱机状态
  

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\GlobalUserOffline        0

• 禁用UAC
  

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\system\\EnableLUA                0

• 在防火墙的例外中注册程序
  

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List        C:\Documents and Settings\Administrator\桌面\xeirib\xeirib.exe:*:Enabled:ipsec

• 关闭防火墙
  

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\EnableFirewall                0
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\DoNotAllowExceptions                0
HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\DisableNotifications                1
4.1.2. 外联端口
根据计算机名生成外联端口

4.1.3. 内存共享
样本将调用CreateFileMappingA函数打开内存映射文件对象“purity_control_90833”（3.3中已写入数据）。
4.1.4. 修改系统内容
样本会在系统system.ini文件中添加以下配置信息：
[MCIDRV_VER]
DEVICEMB={随机数

4.2. 线程一
主要功能是：遍历进程，并对相关进程进行操作；
4.2.1. 互斥对象
若进程是以“system”、“local service”、“network service”用户权限运行，样本将创建相关互斥对象；
“smss.exe”是进程名，“536”是进程PID值；

4.2.2. 进程注入
若进程不是以“system”、“local service”、“network service”用户权限运行，例如，“administrator”用户权限运行，样本将对此进程进行远程进程注入；

4.3. 线程二
4.3.1. 删除注册表中“安全模式”相关项
删除注册表所有项“System\\CurrentControlSet\\Control\\SafeBoot”，致使无法进入安全模式；

4.3.2. 将系统驱动以服务的形式启动

4.3.3. 释放驱动文件并启动
释放sys文件（随机文件名.sys），并以创建服务的形式启动，最后删除文件；

4.3.4. 创建文件
从TEMP目录中复制外联下载的DLL文件，解密DLL，并将解密内容写入\\\\.\\amsint32文件中；

4.3.5. 创建线程2.1_停止服务
样本将创建线程用于停止服务；

4.3.6. 创建线程2.2_查找反病毒软件
样本将创建线程用于查找反病毒软件，若发现反病毒软件，或软件中带有“DWEBLLIO”或“DWEBIO”模块，则样本将把相关软件PID写入\\\\.\\amsint32文件中；

反病毒软件共有1136个（具体列表可查看反病毒软件.txt），部分列表截图如下：

4.4. 线程三
4.4.1. 创建线程3.1_遍历注册表项并操作
样本将创建线程，遍历注册表项，获取相关文件名，并进行一系列操作：

• 反病毒软件名对比

• 文件感染（不确定）
  

HKCU\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache
HKCU\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache

4.4.2. 创建线程3.2_释放病毒母体文件
样本将创建恶意“C:\autorun.inf”文件至所有驱动器，并在TEMP目录中创建病毒母体文件“afyw.pif”，当用户进入被感染驱动器后，就会自动执行病毒。
“C:\autorun.inf”文件内容如下：
[AutoRun]
;nobjspifnyWsyjbfQXCbc BisVi knYnQ
;
opeN= afyw.pif
;tjPBnBlaCxaJvj
sHEll\opEn\comManD =afyw.pif
;
shelL\oPen\defauLT=1
;DCIMly HCqIFfKSSFKEqang QKQempFoVGurBnOwEeFnuqcm
SheLl\expLoRE\cOmmanD= afyw.pif
;GfCw  BYhyrStGTk GBDWMfRqKbhoscmY
ShEll\AUTopLAY\commanD =afyw.pif
“afyw.pif”文件是其释放的文件，格式为快捷方式，具体文件内容请查看afyw文件；

4.4.3. 创建线程3.3_文件感染
遍历文件，查找并感染系统中的EXE、SCR文件；

4.5. 线程四_外联下载
外联下载EXE，解密保存至TEMP目录，最后以创建进程的方式运行；
外联地址如下：
hxxp://www.ledyazilim.com/logo.gif
hxxp://ksandrafashion.com/logo.gif
hxxp://www.lafyeri.com/images/logo.gif
hxxp://kulppasur.com/logo.gif
hxxp://toalladepapel.com.ar/images/logo.gif
hxxp://www.ecole-saint-simon.net/index_top/logo.gif
hxxp://lazarea.ro/images/logo.gif
hxxp://koonadance2.com/images/logo.gif
hxxp://kuplu.bel.tr/images/logo.gif
hxxp://www.liderancaspoliticas.com.br/logo.gif
hxxp://www.legalbilgisayar.com/img/logo.gif
hxxp://lifecom24.co.cc/images/logo.gif


4.6. 线程五_TEMP目录操作
每256毫秒遍历一次TEMP目录，删除TEMP目录的中的EXE、Rar文件；

4.7. 线程六
关键段操作

4.8. 线程七、八、九
相关外联通信，通信均加密

样本等相关文件点击左下角“原文链接”下载。

--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号：吾爱破解论坛

或搜微信号：pojie_52