【安全资讯】绵延不绝，老牌蠕虫“Gippers”分析报告

一、概况：

Gippers蠕虫的发现可以追溯到2014年，但直到今日，依旧会在各种威胁情报中心发现此家族样本的存在，可谓生命力十分强大，但是却鲜有分析文章，十分奇怪。

目前我们针对此家族样本做了详细分析，意义在于通过特征帮助安全研究员们进行分析和识别此类样本。

Gippers蠕虫 执行会释放sqlserver.exe、dumpkernel.exe恶意进程，采集系统隐私上传服务器，下载恶意文件对系统带来极大的危害。

二、样本分析：

➬ 初始化载荷

➀ 初始化配置信息，解密数据。

样本伪装成Server32History.exe，通过异或移位解密字符串。

➁ 创建载荷，攻击传播

➬ 组件分析

➂sqlserver.exe

1) 创建Event: newcard.dyndns.biz:80-1.30

2) 创建目录C:\Users\Desktop\logs,载荷运行后记录日志。

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 请求startup键值，获取路径。

创建

C:\Users\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Update.bat用来持久化sqlserver.exe.

3) 采集主机名-网络共享-版本信息等，C2回连。

4) Internet Settings.ProxyEnable查询浏览器代理是否开启，初始化ip。

5) 时间复杂度判断，Post数据会上传代码过程执行时间(应该是怕被分析),常用于反调试，如果过程时间较长将认定人为干涉。

➃tttbrozzz.exe

判断文件是否存在，如果存在，拷贝母体Server32Hisory.dat安静模式删除，执行母体和dumpkernel.exe，删除启动bat.

➄tttbrlzzz.exe

判断文件是否存在，存在则删除母体，删除自身.bat.

➅Updata.bat

➆dumpkernel.exe

图标是一个双向锤子，样本前半部分代码与上文初始化载荷如出一辙。

分支判断执行线路2，创建Pip匿名通道，创建cmd实现修改注册表CurrentVersion\Run自启动，键值为kernelfaultEx

创建线程执行回调，执行创建文件，没有找到匹配文件。

➇Server32Hitory.exe

释放Server32Hitory.exe执行，来迷惑受害者。

三、情报关联：

ip关系错杂交乱，主要攻击源于欧洲地区德国荷兰。