2009-03-14

樣本分析-fake AntiVirus

這是我在分析本月PCSL測試樣本時發現的一個很有趣的樣本
這個樣本它是一個fake AntiVirus,fake AntiVirus是一種模仿防毒軟體的一種惡意軟體
表面上似乎是一款防毒軟體,但實際上這種假防毒軟體其實是做一些病毒才會做的事情!



這個fake AntiVirus跟一般的fake AntiVirus不太相同,因為它真的很像一款防毒軟體
而且很多防毒軟體的小細節它全部都顧慮到了
所以它沒有一般fake AntiVirus粗製濫造一眼便看穿企圖的問題
相反的,作者的水平還頗高,絕不是那種連外觀都做的很假的
假防毒可以相提並論的!就它的外觀而言,做的幾乎跟真的一樣!


按小圖賞大圖









首先我要說的是我一開始分析的時候並不知道這是一個fake AntiVirus
因為它看起來真的超像一款真的防毒軟體,我是經過一連串的分析
到最後才發現它原來也是一款fake AntiVirus


我們先執行fake AntiVirus,啟動畫面會告訴你正在更新特徵庫
這裡並沒有任何會令HIPS軟體發出警告的可疑行為
而我覺得它可疑的地方在於它在此時並沒有提出聯網要求
意思就是表面上正在透過網路更新特徵碼,但實際上它並沒有聯網!




它啟動完就會自動開始掃瞄系統,與一般假防毒不同的是
它具備系統掃瞄功能!




只是沒多久它就掃完了,算是比較美中不足的地方,因為真的掃太快了一點
不過也很快的就掃到系統中所存在的威脅




這裡比較讓我驚訝的是這個fake AntiVirus它真的具備掃瞄功能
而不是像平常那種連掃瞄過程都是假的那種fake AntiVirus
它掃到的有些是亂報,亂報這部分我們可以很容易瞭解
但是其它也些被報的,這些卻是真正的威脅或灰色程式
不過我猜測,這是它把系統裡的檔案隨機亂報而來的!




掃瞄完後,如果你沒有理它,它會一直彈出這樣的一個視窗
提示你防毒軟體的保護功能沒有被開啟




然後有時候還會告訴你,在系統內發現了追蹤餅乾
如果要移除,必須取得全功能版!




如果你打算取得全功能版,你就會看到這樣的一個頁面
這裡它使用是系統最高級的最上層顯示!我猜測這是用來
擋住使用者本來就有的防毒軟體所提出的警告
用意在於讓受害者專心於付費購買全功能版
達到忽略自己防毒軟體所提出的警告!




這個fake AntiVirus到目前為止都沒有任何對系統不利的危險行為
它有的行為只是很單純的將自己加入啟動項目

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup

HKUS\S-1-5-21-796845957-1390067357-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup






而且這個fake AntiVirus居然還有微軟提供的數位簽章
由於這個fake AntiVirus沒有任何危險行為,所以KIS裡的危險指數為零
危險指數為零,這代表著什麼?代表著它比大部分的系統程式都要來的安分!




簡單的說它其實是一個客戶端版的釣魚程式!
當它出現前面已經看過的付款畫面時,它才開始要求聯網服務




目的IP為94.75.209.11,所在地區為荷蘭
不確定這是否為荷蘭的犯罪組織,或者只是單純的跳板而已




從這個樣本我們可以知道,不用老方法破壞系統,單純用詐騙的方式
其實也是有利可圖的,至少我也一度以為它是一款"真"的防毒軟體
整個過程可以說還瞞有意思的,雖然花了不少時間,但這個過程是值得的
至少我現在知道fake AntiVirus也隨著時代的進步而演進
其實如果一開始我就用"RAPID ANTIVIRUS"做關鍵字去Google一下
或許我就不用這麼忙了,因為這個fake AntiVirus現在在國外還挺有名的

2 則留言:

  1. 不好意思,問個與此主題不相關的問題
    你最後查 IP 位置是如何查詢的?
    看起來像是 Google Map
    可是我卻找不到那個功能
    能請你告訴我是如何查詢的嗎?
    謝謝。

    回覆刪除
  2. 有網站提供這樣的服務http://www.ip-adress.com/ip_tracer/

    但是精度不高,一地區範圍的大小,有+-10~50KM的誤差範圍

    回覆刪除