CTB-Locker敲诈者病毒下载器分析

一、样本基本信息

样本名称：927354529512.scr

样本大小：110592 字节

病毒名称：Win32.Trojan.Ctb-locker.Auto

样本MD5值：3A6D7E551C132AC4C40D95394938F266

二、样本脱壳

该样本的出现的时间是2015.5.14日，和今年4月底出现的敲诈者病毒是同一批次，因为下载病毒的网址是一样的，和前面提到的情况一样，病毒依然在程序的代码指令中加入了比较多的垃圾指令，有可能是敲诈者病毒的心态有点急了。4月份出现的敲诈者病毒没之前的病毒的加固措施做得好，但是病毒脱壳的方法和前面博客提到的一样，依然是在函数VirtualProtect和 VirtualProtectEx的地方下断点，实现一键手动Dump脱壳。

三、样本行为预览

1. 在临时文件目录创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wujip.cab，其中.cab文件的名称是随机产生的，解压提取该.cab文件的.rtf文件并修改.rtf文件名称与当前模块的名称相同，然后运行该.rtf文件迷惑用户。

2. 解密字符串生成下载病毒的网址，与下载病毒的网址进行网络连接，获取需要的网络数据，基于这些网络数据在系统临时文件目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下生成guroga.exe病毒文件，并且.exe病毒文件的名称是随机产生的，然后运行guroga.exe病毒文件并删除guroga.exe病毒文件，加密用户文档等资料的正是下载的guroga.exe病毒文件。

3. 下载病毒的网址，如下：

lasertek.com.sg/icon/run.jpg

shaneproject.org.uk/docs/run.jpg

vesterlin.eu/stats/run.jpg

empuriadata.es/run.jpg

puntocan.com/derutamadre/run.jpg

finam.net/run.jpg

lars-laursen.dk/joomla/run.jpg

malagadetectives.es/images/run.jpg

4. CTB-Locker敲诈者病毒下载器连外网下载病毒的行为是循环进行的，只要有一次连外网下载加密用户文档等资料的病毒文件成功并运行，它就会退出进程，如果没有下载加密病毒成功，它继续连外网进行病毒的下载行为。在调试的过程发现， CTB-Locker敲诈者病毒下载器下载到系统临时文件目录的病毒文件目前发现的有3种分别是981kb、743kb、851kb，从CTB-Locker敲诈者病毒出现以来，这3个加密用户文档等资料的病毒文件是没有变化的，只是名称是随机的。

四、样本行为具体分析

1. 获取系统的临时文件路径以及获取当前模块中的"DATA"类型的资源。

2. 在系统临时文件路径下创建名称随机的.cab文件如：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zoviqagyh.cab。

3. 调用函数SetupIterateCabinetW解压.cab文件，获取.rtf文件并运行该与当前模块同名的.rtf文件。

4. 创建互斥量"xgheaouo"，防止下载病毒的行为重复进行。

5. 解密内存字符串得到下载加密病毒的网址，连接外网下载加密用户文档资料的病毒文件的数据。

6. 获取到病毒文件的数据以后，在系统临时文件目录下，创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zivyke.exe加密用户资料的病毒文件，运行该下载的病毒文件zivyke.exe以后，删除该下载的加密病毒文件zivyke.exe。

五、在线病毒扫描的

样本的扫描结果：http://r.virscan.org/report/0a8f8426e8a5a1d40134c0ecb968d519

由于 CTB-Locker敲诈者病毒下载器文件的代码指令中有很多的垃圾指令的干扰，导致这种病毒的特征码的提取有难度，因此，在线病毒扫描的结果中发现，有很多的病毒引擎是没有识别出该病毒样本的，卡巴斯基都没能鉴别出。值得一提的是，当初CTB-Locker敲诈者病毒第一次出现的时候，没有一个病毒引擎捕捉到该病毒的出现。

六、 CTB-Locker敲诈者病毒的防范

（1）重要数据做好日常备份，如开启windows备份、采用企业网盘等；

（2）及时更新安全软件防范病毒，防止文件被误删；

（3）为保护数据安全，每年进行一次常规网络安全培训，增强安全意识。如建议大家不要点击陌生人发来的 exe、 scr 等可执行程序、链接、邮件，用邮箱随意注册网上的账号等；

（4）协防建议---网络出口边界处：考虑到中毒后，会自动连接外网IP下载恶意木马，建议在网络边界安全设备开启URL信誉库做拦截。这样即使中了，局域网内的恶意软件影响程序会减轻，达到通过设备日志实现事件追溯的效果

转载请保留博客地址：http://blog.csdn.net/qq1084283172/article/details/45767973

时间： 2024-08-26 19:55:59

CTB-Locker敲诈者病毒下载器分析的相关文章

XX下载器分析过程

1. 脱壳查看下载器的PE信息,发现其使用了UPX加壳,所以首先对下载器进行UPX 脱壳. 2. 抓包分析通过Wireshark查看下载器发送的HTTP请求,发现如下信息: 2.1 下载器发送的第一个请求为: http://down.72zx.com/xml/web1.xml?winver=6.1 其中如下信息与接下来的HTTP请求相关: <web> <id>1</id> <name>XX软件园</name> <tag>ONLIN

自己动手写工具：百度图片批量下载器

开篇:在某些场景下,我们想要对百度图片搜出来的东东进行保存,但是一个一个得下载保存不仅耗时而且费劲,有木有一种方法能够简化我们的工作量呢,让我们在离线模式下也能爽爽地浏览大量的美图呢?于是,我们想到了使用网络抓取去帮我们去下载图片,并且保存到我们设定的文件夹中,现在我们就来看看如何来设计开发一个这样的图片批量下载器. 一.关于网络抓取与爬虫网络蜘蛛的主要作用是从Internet上不停地下载网络资源.它的基本实现思想就是通过一个或多个入口网址来获取更多的URL,然后通过对这些URL所指向的网络资

Python实战：美女图片下载器，海量图片任你下载

Python应用现在如火如荼,应用范围很广.因其效率高开发迅速的优势,快速进入编程语言排行榜前几名.本系列文章致力于可以全面系统的介绍Python语言开发知识和相关知识总结.希望大家能够快速入门并学习Python这门语言. 本文是在前一部分Python基础之上Python实战:Python爬虫学习教程,获取电影排行榜,再次升级的Python网页爬虫实战课程. 1.项目概述. 利用XPath和requests模块进行网页抓取与分析,达到网页图片下载的效果. 抓爬图片地址:http://www.2c

.NET破解之太乐地图下载器【非暴破】

不知不觉,接触破解逆向已经三个月了,从当初的门外汉到现在的小白,这个过程只有经历过才知道其中的苦与乐: 有无知.困惑.痛苦.惊喜.彻悟.欣慰…… 有无助的软件脱壳,茫然的代码分析,有无趣的反复测试, 有人说破解不应该程序员干的事,我回复我不是程序员: 有人说.NET程序太没难度了,去破安卓,后来我真开始研究起安卓来: 有人说能不能把支付宝破了,我没回答. 虽然很忙,时间少,但每天晚上都要抽些时间来关注52论坛,关注破解:虽然并没有从破解中获取物质利益,但我愿意将自己的心得或作品分享给大家.不管怎

用python实现的百度音乐下载器-python-pyqt-改进版

之前写过一个用python实现的百度新歌榜.热歌榜下载器的博文,实现了百度新歌.热门歌曲的爬取与下载.但那个采用的是单线程,网络状况一般的情况下,扫描前100首歌的时间大概得到40来秒.而且用Pyqt做的界面,在下载的过程中进行窗口操作,会出现UI阻塞的现象. 前两天有时间调整了一下,做了几方面的改进: 1.修改了UI界面阻塞的问题,下载的过程中可以进行其它的UI操作; 2.爬虫程序采用一个主线程,8个子线程的方式快速爬取,网络状况一致的情况下,将扫描100首歌曲的时间提高到了8.9秒左右:(本

python爬虫主要就是五个模块：爬虫启动入口模块，URL管理器存放已经爬虫的URL和待爬虫URL列表，html下载器，html解析器，html输出器同时可以掌握到urllib2的使用、bs4（BeautifulSoup）页面解析器、re正则表达式、urlparse、python基础知识回顾（set集合操作）等相关内容。

本次python爬虫百步百科,里面详细分析了爬虫的步骤,对每一步代码都有详细的注释说明,可通过本案例掌握python爬虫的特点: 1.爬虫调度入口(crawler_main.py) # coding:utf-8from com.wenhy.crawler_baidu_baike import url_manager, html_downloader, html_parser, html_outputer print "爬虫百度百科调度入口" # 创建爬虫类class SpiderMai