近期,火绒工程师发现针对国内企业投放病毒的威胁变乱,经排查分析后,确以为后门病毒,重要通过垂纶邮件举行传播,其会伪装成Word文档来诱导用户打开。
伪装成Word文档的病毒样本
当用户被诱导点击运行病毒后,黑客可通过CC服务器下发各类指令来实行各种恶意功能,如:恶意代码注入、利用开机自启来举行长期化操纵、获取体系进程信息等恶意功能。不但云云,该病毒还会利用多种本领(控制流肴杂、字符串肴杂、API肴杂)来躲避杀毒软件的查杀。
病毒的实行流程,如下图所示:
病毒实行流程
对此,火绒安全提示用户不要轻易点击泉源不明的邮件附件,火绒安全产物可对该病毒举行拦截查杀。
查杀图
一
样天职析
01
肴杂本领
该病毒启动后会率先实行一段shellcode,相干代码,如下图所示:
实行shellcode
在shellcode中利用多种本领来对抗杀毒软件的查杀,如:控制流肴杂、字符串肴杂、API肴杂等。控制流肴杂,如下所示:
控制流肴杂
字符串肴杂,每个字符串利用时,动态举行解密,而且每个字符串都有单独的解密函数,差别字符串解密函数对比,如下图所示:
差别字符串解密函数对比
API肴杂,在shellcode中会将用到的API地点加密并生存,利用时动态解密出来,如下所示:
加密API地点
利用API之前会动态举行解密,利用位运算特性,每次解密的方法差别,但是结果同等,如下图所示:
差别解密方式
02
恶意举动
获取本机的信息(用户名、盘算机名、体系版本等)并发送给CC服务器,如下图所示:
发奉上线包
黑客可通过CC服务器下发下令来实行各种恶意功能如:实行恣意CMD下令、下发恣意恶意模块、进程注入、获取体系进程信息、长期化等恶意功能,以下举行分析。
启动进程,该功能常被用于实行CMD下令,可实行CC服务器下发的恣意的恶意下令,相干代码,如下图所示:
启动进程
该样本具备多种注入本领,一利用傀儡进程将恶意模块注入到其他进程中实行;二利用长途线程来在其他进程中实行恶意代码,傀儡进程注入,相干代码,如下图所示:
傀儡进程注入
长途线程注入,相干代码,如下图所示:
长途线程注入
获取体系进程信息,相干代码,如下图所示:
获取体系进程信息
获取指定目次文件信息,相干代码,如下图所示:
遍历目次文件
可通过添加服务来举行长期化,相干代码,如下图所示:
长期化
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论