Blackice.C病毒分析

样本信息

MD5:50f559ef10b0291332d387ac9149878e

样本概述

该病毒是具有对抗能力的感染型病毒，属于blackice家族。其通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell和
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run设置自启来实现持久化，通过注入explorer.exe进程来实现进程保护，通过感染本地磁盘，可移动磁盘和网络资源中的exe，xls，doc文件实现传播，通过从以下地址下载数据到本地运行来实施后续攻击。
http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt

行为概述

注册表行为

1，HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
键：run 值：%windir%\system32\blackice.exe
2，HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
键：shell 值：Explorer.exe C:\Windows\system32\blackice.exe（该值导致开机时桌面程序启动失败，只显示壁纸）

文件行为

1，写入%windir%\system32\blackice.exe文件。
2，写入%windir%\system32\kernel.dll文件。
3，感染主机上本地硬盘中的除去winnt和windows目录下的exe，xls，doc文件。

进程行为

1，注入explorer.exe进程，用于在blackice.exe进程结束时重启该进程。
2，查找以下27个安全厂商的相关进程，找到后终止。

网络行为

1，连接http://fmtwld.zj.com/blackice/url.txt和http://fmtwld.vicp.net/blackice/url.txt试图下载数据到本地，保存为%windir%\system32\blackice.ini文件运行。

详细分析

1，创建互斥体“blackicemutex”，用于进程间互斥，防止多个blackice.exe在运行。

若该互斥体已经存在则退出

2，判断系统版本，如果不是Windows 7，Windows Server 2008，Windows Vista，Windows Server 2003，Windows XP或Windows 2000中的一个则退出。

3，获得主机信息。
主机名

获得系统盘信息

获得磁盘***

获得主机MAC地址

4，提权,设置SeDebugPrivilege权限。

5，将当前文件复制为%windir%\system32\blackice.exe和%windir%\system32\kernel.dll文件。

6，对explorer.exe进程进行注入，用于进程保护。
首先获得explorer.exe进程的PID

然后打开explorer.exe进程注入shellcode，最后以启动远程线程的方式启动该shellcode。

7，创建六个线程。
线程1：sub_404A71
创建自启：
在HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run处创建自启
键：run 值：%windir%\system32\blackice.exe
创建办法：
检索与Win.ini文件的指定部分中的键关联的字符串

如果没有则写入

在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell创建自启
键：shell 值：Explorer.exe C:\Windows\system32\blackice.exe（该值导致开机时只显示壁纸）
创建办法：
检索"C:\Windows\system32\system.ini"键关联的字符串

如果没有则写入"Explorer.exe C:\Windows\system32\blackice.exe"

持续检测%windir%\system32\blackice.exe和%windir%\system32\kernel.dll存在与否，如果不存在则将自身拷贝过去

持续检测注入的远程线程的退出码，判断是否为正常退出，如果不是则重新进行注入。

线程2：sub_403D93
连接http://fmtwld.zj.com/blackice/url.txt
http://fmtwld.vicp.net/blackice/url.txt
获得数据写到本地的%windir%\system32\blackice.ini文件中

下载完成后执行该文件

线程3：sub_4051AC
终止安全厂商的27个相关进程

查找相关进程并终止

线程4：sub_403105
设置word和execl的安全级别


感染xls和doc文档的模板文件，使新创建出来的xls和doc文档带毒



线程五：sub_404999
注册watchusb窗口类
并创建该类窗口，监视磁盘变更的消息，如果是可移动磁盘则对其进行感染，并感染其中的目标文件。

判断消息类型和磁盘类型

线程六：sub_403771
首先获得本地时间，如果时间不是星期二，四，六则退出该线程

然后以获得时间的毫秒数为种子生成一个随机数，然后以该随机数为参数睡眠

感染本地磁盘中的目标文件,包括exe，doc，xls文件，感染深度为3层目录

感染网络资源中的目标文件，感染深度为4层目录

8，等待线程1和线程2结束后退出进程。

9，注入explorer.exe进程的shellcode分析。
等待blackice.exe进程结束，在其结束后查找%windir%\system32\blackice.exe文件，如果存在则直接运行它，如果不存在则将%windir%\system32\kernel.dll文件复制为%windir%\system32\blackice.exe文件并运行。