(钓鱼)关于境外暴破登录事件的一次分析

样本概括


名称	rundll32.exe
作者	Microsoft
危险级别	几乎没有

环境&工具

win7 x86
x64dbg
010editor
PEID,ExeInfo

rundll32.exe用于在内存中运行DLL文件，用于需要调用DLLs的程序。它们会在应用程序中被使用。这个程序对系统的正常运行是非常重要的。

注意：rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

过多的侵入式广告；
烦人的插页式广告；
浏览器减速；
重定向到不明/可疑网站；
系统冻结等等

静态分析

解压后是docx.link文件，右键查看属性发现样本名称为 rundll32.exe

合法的 rundll32.exe 文件通常位于 C:\Windows\System32_ 文件夹中

运行docx文件，查看任务管理器，发现cpu会增加10%左右，查看样本文件与源文件样本文件为源文件的快捷方式，且大小为 1.5KB，MD5值为FBFB73F0206FF0B2E81DF22A08BE06EF，进一步确认该快捷方式进行了哪些恶意行为

文件头格式4D5A

使用PEID确认

使用ExeInfo确认信息,发现[Microsoft Visual C++ 8] 且没有加壳

获取恶意样本与 rundll32.exe的OEP

vc6.0以后的DEBUG版本一般来说IAT函数调用使用FF15 极大可能是VS程序

对比内存、调用堆栈、SEH链、线程、模块等数据，查看是不是包含恶意模块

发现模块一致,对比寄存器里面的数据

发现所有值在入口前都一致，调试完后发现

EIP相同的情况下，寄存器数据不一致，查看图表确定少了两条指令

rundll32.004A232B
xor ecx, ex
cmp dword ptr s5 : [ebp-Ic], ebx

xor ecx, ex 是一个异或（XOR）操作，用于执行两个寄存器的异或运算。这里将 ecx 和 ex 寄存器的值进行异或操作。
cmp dword ptr s5:[ebp-Ic], ebx 是一个比较（CMP）操作，用于比较两个值。这里将 s5:[ebp-Ic] 和 ebx 进行比较。

获取`C2`的木马地址

找不同

我们有不包含木马的原程序，可以目标程序进行比对
- 如何进行比对

病毒特征

只要打开网页电脑就变得齐慢，任务管理器里面的进程RUNDLL32.EXE占用CPU99％，关了该进程，过一会又有了，杀毒又杀不了。在任务管理器的进程中有很多rundll32.exe进程，并且一个个的内存使用很大。终止进程后，打开网页又跳出这个进程。直接ctrl+f在c盘中查找，在c:\下有很多rundll32.exe文件，但只有一个是正常的，其他的根目录不是system32，删除根目录不是system32的文件。这样就确认是中了木马病毒。删除了上述的文件，还是没有作用，要除根才行。在c盘中多了一个stdup.dll文件，删也删除不掉。这个时候，重新新动计算机在安全模式下删除这个文件。最好在注册表中删除相关的内容。

解决方案:

1、卡巴斯基、瑞星、江民、诺顿等杀毒软件是不能查到该病毒,所谓术业有专攻，如是而已，这是一个木马病毒，当然要用木马专杀毒软件了。
2、手动删除过程：
扼杀全过程：
- （1）在开始→运行中输入regedit
- （2）查找hkey_local_machine\software\stdup 和 hkey_current_user\software\stdup 并删除stdup。
- （3）在开始→设置→控制面板→性能和维护→管理工具→服务中找stdservice双击后，把启动类型改为已禁用。
- （4）如果在c:\program files\ 文件夹中有stdup，整体删除。
  这下试试你的机器，不出现错误提示，也不出现打开网页超慢的情况了。