针对Dorkbot僵尸网络新变种的分析

在McAfee Labs，我们最近观察到了Dorkbot僵尸网络的一个新变体。Dorkbot是一个臭名昭著的僵尸网络，与2011年4月首次被发现，使用的攻击手段包括后门植入，密码窃取和其他恶意行为。Dorkbot的传播途径也非常广泛，包括了USB设备、IM客户端、社交网络、电子邮件，还有隐蔽式下载。Dorkbot的主要攻击目标就是盗取用户凭证，以及各种能够识别个人身份的信息。它同时还能够在你的PC上，通过控制服务器安装更多的恶意程序。

不过最近，McAfee又发现了Dorkbot的新变种。恶意软件会从api[.]wipmania[.]net下载文件，api[.]wipmania[.]net是一个提供地理定位服务的站点。以下屏幕显示下载程序文件的网络流量。

下载的文件是使用Microsoft Visual C / C ++（2008版）编译的包装器。在我们的分析过程中，我们研究了包装文件并从恶意软件中提取了核心运行文件。

核心运行文件分析

核心运行文件也符合Microsoft Visual C ++编译规则，文件大小为48KB，具有虚拟机名称，注册表项，加密URL等相关的字符串，如下所示：

检测是否有虚拟运行环境

在执行任何恶意活动之前，恶意软件会执行检查虚拟环境的代码。它使用SetupDiGetDeviceRegistryPropertyA（）API，这有助于检索指定的通用即插即用设备属性。检测代码段如下：

我们可以从上图中看到，Dorkbot所使用的第三个参数为0xC（SPDRP_FRIENDLYNAME），0xC可以检索设备是否为杀软设备，然后，使用与虚拟机相关的字符串检查运行设备名称，例如vbox，qemu，vmware和virtual hd。如果Dorkbot发现这些字符串中的任何一个，都表示恶意软件是在虚拟环境运行，则Dorkbot会立即终止恶意运行。

在检测完虚拟环境后，Dorkbot接下来会对当前运行目录进行检查，它会将文件运行路径与来自％appdata％的所需路径与GUID格式的文件夹名称（例如，％appdata％/ {GUID}）进行比较。以下汇编代码就是检查文件路径的恶意代码段：

如果文件从不同的路径执行，Dorkbot会将该事件视为其第一次执行。在第一次执行时，Dorkbot会设置其运行环境，比如文件删除，注册表项等。Dorkbot会在％appdata％中创建一个目录并进行复制。Dorkbot会使用自定义函数和StringFromGUID2（）API来获取GUID格式的文件夹名称。删除的文件和路径如下所示：

Dorkbot还创建了一个运行注册表项和任务，以便在系统上持续存在，使用上述删除文件设置执行文件路径。Dorkbot创建的注册表项如下所示：

Dorkbot还会创建一个任务，当用户登录时执行Dorkbot的恶意文件。

在成功安装注册表和计划任务后，Dorkbot使用process hollowing把其代码作为svchost.exe加入杀软的应用程序级白名单。

在将恶意代码注入到svchost.exe中后，Dorkbot会调用ZwQueueApcThread（），这是一个未记录的API，用于在当前远程线程上对异步过程调用（APC）进程（恶意软件的远程代码）进行排队，APC是在特定线程的上下文中异步执行的函数。ZwQueueApcThread允许调用者指定三个（包括线程例程）将传递给线程的参数，之后Dorkbot会发送与核心运行文件攻击地址不同的运行地址，从而与控制服务器进行连接（被查费以前的Dorkbot的组成包括命令服务器和控制服务器）。

注入的代码首先会运行重定位代码，这样注入的代码就会与新设备的基地址兼容。重定位代码后，为确保Dorkbot在系统中保持活动状态 ，即使在手动终止之后 ，Dorkbot还是会通过在已运行的进程中注入watchdog代码。

不过，研究人员却观察到的一个奇怪的现象，在注入watchdog代码之前，Dorkbot会检查进程名称TeamViewer和tv_w32.exe。如果恶意软件找到它们之一，它不会将其代码注入该进程。

Dorkbot会列举正在运行的进程，并尝试使用远程内存功能进行创建，读取和写入与内存相关的0x10047A标志及打开这些标志的权限。标志的定义如下：

watchdog代码具有一部分API调用的功能，不过Dorkbot需要对watchdog代码进行更新，使其与远程进程兼容。 Dorkbot还会更新代码中与API地址和恶意软件进程ID相关的占位符。除了watchdog代码以外，Dorkbot还会注入其文件路径，由代码引用，这样watchdog便可以重新启动进程。下图显示修改前后的watchdog代码：

注入的代码使用WaitForSingleObject（）API来等待恶意软件进程的发生。它会把恶意软件的进程ID作为第一个参数，把等待时间作为第二个参数。如果恶意软件进程被终止，Dorkbot就会向WaitForSingleObject（）发送信号，让注入的代码继续进行，具体过程是这样的：获取信号后，注入的代码执行CreateProcessW（）API并再次创建恶意软件进程。

正如前面提到的， Dorkbot还会将恶意运行的文件路径注入到远程进程，以便在手动终止时重新启动恶意程序。但是，正如我们在前面看到的，我们找不到任何引用恶意软件文件路径的地址，这是因为恶意软件已将文件路径的地址作为参数传递给了CreateRemoteThread（）API，并在EBP寄存器（[EBP + 8]）的帮助下引用代码。

网络连接

对于网络连接的运行，Dorkbot会包含加密URL的列表。Dorkbot会解密此列表并生成格式为 %s%u.%s的URL列表，该列表也存在于Dorkbot本身中。这里第一个“％s”表示字符串“con”，“％u”表示整数1和2，最后的“％s”表示已经解密的URL。因此，Dorkbot会在每个解密的URL前添加前缀con1.和con2.。

解密网址： abcxyz.com

生成的网址：con1. abcxyz.com, con2. abcxyz.com

如上图所示，解密的URL的前4个字节是在Dorkbot中被硬编码过的固定双字值。这4个字节也会用于检查从服务器接收的数据，数据的第五个字节表示操作系统主版本和次版本，第六个字节会检查操作系统是32位还是64位。该字节的值为0x20或0x40，分别用32进制和64进制表示。

接下来那一部分是十六进制数据，用字符进行定义，例如，0x41代表“A”，表示为4和1.这部分数据是计算机名称，以及用＃分开的哈希值。Dorkbot使用格式说明符“％s＃％s”，其中第一部分是计算机名称，后者是哈希值。再往后的数据是字值（在上图表示为0x444E），它表示文件中的特定偏移量。数据的最后部分是网络连接，所发生的时间和GetTickCount（）API的输出数据。

在将数据发送到服务器之后，Dorkbot就已经准备好接收数据了。由于这些网址目前尚未启用，因此我们在分析期间没有收到来自服务器的任何资料。但是，从汇编代码中，我们可以看到恶意软件将会以以特定格式来接受自服务器的数据。以下汇编代码段显示Dorkbot对接收到的数据所进行的检查。

可以看出，WS2_32.recv（）API是从连接的套接字接收数据，并返回接收的字节数。Dorkbot会检查API的返回值，如上图所示，服务器接收的字节长度为205，也就是说，Dorkbot已经计算出来自控制服务器的数据长度为205字节。在检查字节数后，Dorkbot会计算数据的前6个字节，它将前4个字节与在发送数据时使用的固定双字值（上图中为18273645）进行比较。Dorkbot便会计算出第五和第六个字节分别为1和0。由于这些网址目前尚未启用，所以研究人员的分析也就到此为止了，请大家关注我们后续的跟踪分析。