江民赤豹安全實驗室攔截了一款名為Backdoor.GameThief，后門類型病毒 。該病毒會通過資源釋放兩個內容類似的文件到臨時文件目錄及系統目錄下，分別用于重置SSDT干擾殺軟，以及創建服務形成后門，接著在服務中通過硬編碼獲取遠程C&C服務器地址，收集信息，下載惡意代碼進一步危害計算機 。
病毒信息
【應對措施及建議 Backdoor win32怎么殺掉】病毒名稱：Backdoor.GameThief
病毒家族：Backdoor.GameThief
病毒類型：后門
MD5：
DD668456CF2F3B72773D1968487BDCD5 。
SHA1：
4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9 。
文件大?。?12255字節 。
文件類型：EXE
傳播途徑：郵件，互聯網
專殺信息：暫無
影響系統：Windows xp/Windows 7/Windows 8/Windows 10等系統 。
樣本來源：互聯網
發現時間：
入庫時間：
C2服務器：192.168.1.88:8088
病毒危害
該病毒入侵電腦后，會下載惡意代碼直接執行或注入winlogon.exe，可能對系統造成更嚴重的損害 。
手工清除方法
1). 停止服務列表中的通俗名為“Microsoft Device Manager”服務項
2). 刪除注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices中與（1）中服務同名的注冊表子項
3). 刪除system32目錄下與（1）中服務同名，格式為“%s..ex.dll”文件
4). 刪除%temp%目錄下格式為“%d_ex.tmp”文件，其創建時間固定為?2004?年?8?月?17?日，??20:00:00
應對措施及建議
1). 建立良好的安全習慣，不打開可疑郵件和可疑網站 。
2). 備份好電腦的重要資料和文檔，定期檢查內部的備份機制是否正常運行 。
3). 不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接 。
4). 使用移動介質時最好使用鼠標右鍵打開使用，必要時先要進行掃描 。
5). 現在有很多利用系統漏洞傳播的病毒，所以給系統打全補丁也很關鍵 。
6). 安裝專業的防毒軟件升級到最新版本，并開啟實時監控功能 。
7). 為本機管理員賬號設置較為復雜的密碼，預防病毒通過密碼猜測進行傳播，最好是數字與字母組合的密碼 。
8). 不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的 。
文件行為
1). 在system32目錄下釋放格式為“%s…ex.dll”文件
2). 在%temp%目錄下釋放格式為“%d_ex.tmp”文件，修改文件時間為?2004?年?8?月?17?日，??20:00:00
進程行為
1). 創建通俗名為“Microsoft Device Manager”服務項 。
2). 劫持winlogon.exe
注冊表行為
1). 創建注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxx
2). 修改注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxStart值: 0x00000002(2)
3). 修改注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxImagePath值: %SystemRoot%System32svchost.exe -k
4). 修改注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesxxxParametersServiceDll值: C:Windowssystem32xxx…ex.dll
5). 修改注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxDisplayName值: Microsoft Device Manager
6). 修改注冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesxxxDescription值: 監測和監視新硬件設備并自動更新設備驅動
網絡行為
1). Socket通信上傳計算機信息至192.168.1.88:8088
2). 從192.168.1.88:8088下載文件
詳細分析報告
1). 在文件末尾0x400的數據中找到“AAAAAA”，“CCCCCC”標志字符串，將后續字符串保存 。

文章插圖

圖1.1 通過標志查找字符串


文章插圖

圖1.2 查找末尾0x400數據
2). 判斷運行參數，如果不是“Gh0st Update”則以（1）中從“AAAAAA”處獲取的字符串為名稱的互斥體，保證進程中只有一個實例 。


文章插圖

圖2.1 判斷運行參數


文章插圖

圖2.2 創建互斥體
3). 添加Ace到Acl,控制進程的訪問 。


文章插圖

圖3.1 添加Ace
4). 在臨時文件創建一個格式為“系統指針_res.tmp”的臨時文件，從資源“BIN”中獲取數據寫入并設置文件創建及修改時間至?2004?年?8?月?17?日，??20:00:00，隨后再創建一個格式為“系統時針_ex.tmp”的文件，接著替換剛剛生成的“_res.tmp”文件并設置隱藏屬性，增加分析難度 。最后調用文件中的ResetSSDT函數，目的是影響某些殺毒軟件的正常工作 。


文章插圖

圖4.1 釋放臨時文件重置SSDT


文章插圖

圖4.2 替換臨時文件
5). 在注冊表“HLMSOFTWAREMicrosoftWindows NTCurrentVersionSvchost”尋找項“netsvcs”下的字符串，是否在“HLM SYSTEMCurrentControlSetServices”下存在子健，如果存在則創建“服務名sex.dll”的文件名，路徑為系統目錄，以該路徑文件名創建服務 。


文章插圖

圖5.1 創建服務
6). 設置相關的服務注冊表項，并從“BIN”資源中獲取數據創建文件，形成后門 。


文章插圖

圖6.1 設置注冊表
7). 服務啟動后，首先掛起，創建工作線程 。


文章插圖

圖7.1 創建線程工作
8). 將之前從文件中獲取的“rqaxva61p72uvaenqaevp6ef”經過Base64以及普通加密運算得到IP地址192.168.1.88:8088 。


文章插圖

圖8.1 解密ip
9). 然后獲取系統相關信息，包括系統版本，本地標準主機名，CPU主頻信息，驅動版本信息，然后將這些數據發送給遠程服務器 。


文章插圖

圖9.1 發送系統信息
10). 后門控制功能包括收集磁盤和文件信息發送至服務器，屏幕和音頻控制 。


文章插圖

圖10.1 收集磁盤信息


文章插圖

圖10.2 音頻視頻控制
控制cmd并通過管道獲取執行結果發送至服務器 。


文章插圖

圖10.3 創建管道
提升權限遍歷進程及進程模塊信息發送至服務器 。


文章插圖

圖10.4 遍歷進程和模塊
從服務器下載程序直接執行 。


文章插圖

圖10.5下載文件執行
生成“%d.back”文件劫持winlogon.exe


文章插圖

圖10.6 劫持winlogon.exe
樣本溯源分析
遠程服務器地址：192.168.1.88:8088可能是局域網內IP，該樣本可能是測試版本

• 烏桕樹的功效與作用及藥用價值 烏桕樹的功效與作用及藥用價值圖片
• 川芎的功效與作用及禁忌 丹參乳香川芎的功效與作用及禁忌
• 杜仲的功效及用途有哪些作用 杜仲的功效及作用是什么
• 炙米殼的功效與作用及禁忌 炙米殼的功效與作用
• 魚腥草泡水的功效和副作用 魚腥草泡水的功效與作用及禁忌
• 綠檀木梳子的功效與作用 綠檀木梳子的功效與作用及禁忌百度百科
• 教學相長原文及翻譯古詩文網，教學相長原文及翻譯停頓
• 馬鞭草的功效與作用及禁忌和食用方法 馬鞭草有何功效與作用及禁忌和食用方法
• 冬蟲夏草吃法及用量是多少 冬蟲夏草吃法及用量
• 干紅葡萄酒的功效與作用 干紅葡萄酒的功效與作用及食用方法