一、基本信息

　　样本名称：Rub.EXE

　　样本大小：21504 字节

　　病毒名称：Trojan.Win32.Rootkit.hv

　　加壳情况：UPX(3.07)

　　样本MD5：035C1ADA4BACE78DD104CB0E1D184043

　　样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB

　　病毒文件的组成：

　　病毒母体文件Rub.EXE MD5：035C1ADA4BACE78DD104CB0E1D184043

　　病毒母体释放的文件owwesc.exe(随机字母组成的文件名并且是病毒母体Rub.EXE脱UPX壳后的文件) MD5: CC7E53EBCE40AC0BFE07FAF3592C210A

　　病毒母体释放的文件hra33.dll MD5: 5B845C6FDB4903ED457B1447F4549CF0

　　二、样本脱壳

　　对病毒母体文件Rub.EXE进行查壳，使用DIE.exe查壳软件查壳的结果如下。病毒母体文件被加了UPX壳，并且病毒的开发工具Microsoft Visual C/C++(6.0)。UPX壳脱壳难度不大，根据脱壳的ESP定律，对病毒母体文件进行脱壳处理，然后开始对脱壳的病毒母体文件进行病毒的行为分析。

　　三、样本病毒行为分析

　　1. 尝试打开注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR"，判断该注册表是否存在。

　　2. 如果注册表项"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR"存在则为主线程设置服务派遣例程。

　　2.1 下面详细的分析病毒进程设置的服务派遣例程的行为。

　　2.1.1 为主线程服务控制设置服务请求处理过程函数，服务请求处理函数根据相关的控制命令nServiceControlStatus设置服务的状态。

　　2.1.2 创建信号互斥量".Net CLR"，防止病毒行为的二次执行。

　　2.1.3 枚举病毒进程文件的资源，获取类型为0xA的资源，其实该资源就是一个PE文件。

　　2.1.4 使用获取到的0xA类型的资源在系统目录C:\WINDOWS\system32下释放病毒文件C:\WINDOWS\system32\hra33.dll，然后修改hra33.dll文件的头2个字节为"MZ"，恢复"hra.dll"为正常的PE文件。

　　2.1.5 查询注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR 项ImagePath对应的镜像文件ImageFile;以资源更新或者替换的方式修改该镜像文件IamgeFile的语言资源为病毒文件C:\WINDOWS\system32\hra33.dll的数据。

　　2.1.6 加载动态库文件C:\WINDOWS\system32\hra33.dll，然后连续创建3个病毒线程，对用户的电脑进行肆意的破坏。

　　======================================================================

　　线程1 的病毒行为是 利用IPC$在用户的本地主机服务器上种植病毒。

　　1. 获取用户本地主机的标准主机名，然后根据获取的主机名遍历获取本地主机名对应的所有的IP地址和端口信息。

　　2. 对获取的用户的本地主机的IP地址和端口号循环的进行弱口令的登录测试，尝试入侵到本地主机服务器上进行后面的植入病毒文件的操作。

　　3. 如果弱口令登录入侵用户本地主机服务器成功则向用户的本地主机服务器植入病毒文件，然后运行病毒文件，创建病毒进程，对用户的本地主机服务器进行肆意的破坏。

　　======================================================================

　　线程2 的病毒行为是 创建很多死循环的网络操作等的线程，获取用户的电脑的操作系统信息、CPU的信息、内存的信息、网络流量的信息，创建网络套接字主动连接病毒作者的服务器，将这些信息发送给病毒作者，因此用户的电脑也变成了“肉鸡”被病毒作者所控制。用户的电脑等待病毒作者发送控制命令，进行恶意行为的操作。下面具体分析。

　　1. 死循环创建同一病毒线程然后休眠(这种行为在该病毒进程中非常的多)，有软件将这些线程标识为“僵尸线程”。

　　2. 创建网络套接字，向 网址www.hacker22.com 发起网络连接，接受病毒作者的远程网络控制。