背景介绍

DorkBot是一个臭名昭著的僵尸网络，使用的攻击手段包括后门植入，密码窃取等恶意行为。传播方式也各式各样，包括移动U盘、即时通讯软件、社交网络、电子邮件等。主要攻击目的就是盗取用户密码，以及各种能够识别个人身份的信息。

从感染位置来看，东南沿海、京津冀和西南地区受灾较为严重。其中广东省、山东省、山西省分列感染量前三，出人意料的是青海感染量位居第五。分布如下图所示：

从感染行业来看，政府、教育部门和企业为主要攻击目标。

样本分析

病毒流程

反检测技术

文件用了多层payload解密的技术，用于躲避安全软件检测和干扰调试，最后解密出一个完整的PE文件，包含核心恶意代码。

通过字符串终止下列安全软件进程：

norton、antivirus、symantec、mcafee、eset、avg、avast、avira、kaspersky、checkpoint、grisoft、antivir、bitdefender、windows defender、unlocker、sandboxie、windowsupdate、alwil、avpersonal、sophos、virus、f-secure、trend、ccleaner、malware、norton、internet security、drweb、spyware

注入技术

创建一个同名进程，将解密的PE文件注入进程。

核心代码中所使用的API都通过动态获取函数地址，并且关键字符串都需要解密使用。

创建calc.exe进程进行注入。

创建svchost.exe进程进行注入。

传播模块

该病毒通过U盘进行传播，会创建一个窗口用于监听USB的插入。

当有U盘插入后，会检测是否已存在感染的文件，进行删除，重新感染，并设置文件属性为隐藏。

持久化模块

拷贝自身到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe"，并添加到注册表自启动。

网络模块

在calc.exe进程中解密如下url下载文件到受害主机的temp目录：

http://api.wipmania.com.selfmg.ru/api.gif

http://api.wipmania.com.lotus5.ru/api.gif

http://api.wipmania.com.wipmania.ru/LkwAxD.gif

http://api.wipmania.com.lotys.ru/vJoJAi.gif

http://api.wipmania.com.bwats.ru/OfjTMe.gif

http://api.wipmania.com.stcus.ru/apSPhv.gif

http://api.wipmania.com.cmoen.ru/zkmcHM.gif

http://api.wipmania.com.artbcon3.ru/frfLeC.gif

http://api.wipmania.com.yeloto.ru/zwFMwD.gif

连接C&C端获取指令。