详细分析了 Xred 蠕虫的行为特征及修复方法。该病毒使用 Delphi 编写,主要针对 Windows XP 及以上系统,通过感染 EXE 文件和 Excel 文档进行传播。EXE 感染采用资源节注入技术,将原文件打包至 EXERESX 节;Excel 感染利用 COM 组件将数据拷贝至含宏的 xlsm 文件。此外,病毒还具备邮件发送、键盘记录及远控功能。文章提供了基于 Delphi 的修复工具开发思路,包括进程终止、注册表清理及文件还原逻辑,并针对 xlsm 修复中的宏加密问题提出了折中方案。最后给出了系统加固与防御建议,帮助用户识别和清除此类威胁。
该样本为早期编写的恶意软件,使用 Delphi 7 编写。后续汇编分析显示其对 Windows XP 及更高版本系统进行了兼容处理。被感染机器的 C:\ProgramData\ 目录下会生成 Synaptics 目录,其中包含原始恶意样本。病毒生成的文件图标不固定,通常会更新为最近一次运行被感染 exe 文件的图标。大部分由病毒生成的文件均被设置为隐藏文件和系统文件。
在用户未开启'显示隐藏文件和系统文件'选项的情况下,这些文件不可见。被感染机器的 Desktop、Documents、Downloads 目录下的 32 位 EXE 文件和 xlsx 文件会被掉包,导致文件分享给他人时造成大范围感染。
病毒包含多个功能模块,部分与网络连接相关的 IOC(入侵指标)已失效。主要模块包括蠕虫感染、邮件发送、键盘记录、远控及自启动等。
通过调用 Windows API SHGetSpecialFolderLocation 和 SHGetPathFromIDListA 获取目标感染目录。病毒会获取桌面、下载和文档的路径,并递归遍历子目录进行感染。这种机制确保了感染范围覆盖用户常用的数据交互区域。
对于 EXE 文件,病毒通过 LoadLibrary 加载到当前进程。由于病毒本身是 32 位程序,仅感染 32 位的 EXE 文件。感染逻辑基于 PE 资源节中的特定标识:
EXEVSNX 中的数据作为版本号,支持版本更新。EXERESX 中。当用户运行被掉包的 EXE 文件时,病毒会释放资源节 EXERESX 中的原文件到临时路径(以 .*cache* 开头),设置系统文件和隐藏属性,然后执行原文件。此过程对用户无感知。代码中还包含重复感染检测逻辑,判断 .*cache* 开头的文件是否也包含 EXERESX 资源节,体现了作者对边界情况的考虑。
感染 xlsx 文件是通过 COM 组件完成的,因此只有安装了 Excel 的机器才会被正确感染。大致的感染流程如下:
XLSM 节包含了恶意宏代码的 xlsm 文件。~$chac1 隐藏文件,其内容为病毒文件本身。被感染的 xlsx 文件内容和原来一样,但后缀改变且包含加密的 VBProject。文件夹下存在 ~$chac1 文件是重要的感染特征。
以下模块部分功能已失效或未深入分析:
KBHKS 中。动态调试过程中消息钩子未正常设置,原因待确认。Register 库,实现简单。| Mutex | Synaptics2X |
|---|---|
| Domain | xred.mooo.com |
| [email protected], xredline2@... | |
| Files | C:\ProgramData\Synaptics, C:\ProgramData\Synaptics\Syanptics.exe |
| Registry | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: "Synaptics Pointing Device Driver" |
基于上述分析,可编写修复工具。工具同样使用 Delphi 编写,利用图形界面库方便操作。对于 xlsm 修复为 xlsx,可采用 Open_XML_SDK 或 COM 组件方式。本文方案采用与恶意代码相同的 COM 组件方式进行修复,这是一种取巧的方式。
EXEVSNX 和 EXERESX 资源节。原理为提取资源节中的原文件并还原。.*cache* 前缀文件和 ~$cache1 文件。在执行 VBA 对象模型相关操作时,需确保注册表中启用了访问 VBA 对象模型的权限,否则代码无权读取 xlsm 的宏代码。这通常涉及修改 HKEY_CURRENT_USER\Software\Microsoft\Office\...\Security\VBAWarnings 等键值。
根据本次分析结果,提出以下安全加固建议:
C:\ProgramData\ 下是否有异常子目录(如 Synaptics)。Run 键值,移除未知启动项。通过上述措施,可有效降低此类蠕虫病毒的传播风险,并在感染发生后快速恢复系统环境。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online