丁香五月激情综合国产,国产亚洲精品美女久久久m,国产亚洲av在线,国产成人综合野草

全國(guó)咨詢(xún)電話

02389108633

關(guān)注官方微信

勿輕易解壓陌生壓縮包,后門(mén)病毒或在其中

近期,火絨威脅情報(bào)系統(tǒng)檢測(cè)到后門(mén)病毒偽裝成“36種財(cái)會(huì)人員必備技巧(珍藏版).rar”在微信群聊中快速傳播。經(jīng)火絨工程師分析發(fā)現(xiàn),用戶(hù)打開(kāi)解壓后的.exe文件后,該病毒則會(huì)運(yùn)行,隨后執(zhí)行終止殺軟進(jìn)程、禁止殺軟自啟動(dòng),以及操控受害者終端并執(zhí)行文件監(jiān)控、遠(yuǎn)程控制、鍵盤(pán)記錄等惡意行為,對(duì)用戶(hù)構(gòu)成很大的安全威脅。

在此,火絨工程師提醒大家時(shí)刻注意群聊中發(fā)送的陌生文件,如有必要先使用安全軟件掃描后在使用。火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺,請(qǐng)用戶(hù)及時(shí)更新病毒庫(kù)以進(jìn)行防御。

樣本分析

病毒的執(zhí)行流程

由于殺毒軟件 Zemana 的反病毒驅(qū)動(dòng)啟動(dòng)時(shí),會(huì)根據(jù)注冊(cè)表項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices 中的值

來(lái)刪除對(duì)應(yīng)的驅(qū)動(dòng)注冊(cè)表項(xiàng),黑客利用這一特性,在病毒啟動(dòng)后向該注冊(cè)表位置中寫(xiě)入其他殺毒軟件的驅(qū)動(dòng)注冊(cè)項(xiàng)名,來(lái)刪除其他殺毒軟件的驅(qū)動(dòng)注冊(cè)項(xiàng),如下圖所示:

向注冊(cè)表寫(xiě)入代碼
會(huì)被刪除的驅(qū)動(dòng)列表,如下圖所示:

驅(qū)動(dòng)列表


釋放并加載ZAM殺軟驅(qū)動(dòng),相關(guān)代碼,如下圖所示:

釋放驅(qū)動(dòng)并加載


之后再利用該驅(qū)動(dòng)的接口來(lái)終止其他殺毒軟件進(jìn)程,相關(guān)代碼,如下所示:

終止其他進(jìn)程相關(guān)代碼


通過(guò)鏡像劫持功能,禁止殺毒軟件進(jìn)程啟動(dòng),火絨劍監(jiān)控到的行為,如下圖所示:

火絨劍監(jiān)控到的行為


等禁用殺毒軟件之后,會(huì)從C&C服務(wù)器獲取對(duì)應(yīng)的配置文件,根據(jù)配置文件下載 Loader 模塊,相關(guān)代碼,如下所示:

獲取配置信息


根據(jù)配置信息下載 Loader 模塊 CMO03.exe 到 C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows

\StartMenu\Programs\Startup\ 目錄下并執(zhí)行,火絨劍監(jiān)控到的行為,如下圖所示:

火絨劍監(jiān)控到的行為

該模塊從資源中解密,并執(zhí)行 shellcode1,相關(guān)代碼,如下圖所示:

解密執(zhí)行 shellcode1

在 shellcode1 中會(huì)從 C&C 服務(wù)器接收、執(zhí)行 shellcode2,相關(guān)代碼,如下圖所示:

接收、執(zhí)行 shellcode2

在 shellcode2 中會(huì)內(nèi)存加載后門(mén)模塊,相關(guān)代碼,如下圖所示:

內(nèi)存加載后門(mén)模塊

該后門(mén)模塊具備各種惡意功能如:鍵盤(pán)記錄、文件竊取、遠(yuǎn)程控制等惡意功能,以下對(duì)一些較為重要的惡意代碼進(jìn)行舉例說(shuō)明,

遠(yuǎn)程控制相關(guān)代碼,如下圖所示:

遠(yuǎn)程控制

執(zhí)行 C&C 服務(wù)器下發(fā)的程序,相關(guān)代碼,如下圖所示:

執(zhí)行 C&C 服務(wù)器下發(fā)的任意程序

鍵盤(pán)記錄,相關(guān)代碼,如下圖所示:

鍵盤(pán)記錄

附錄

C&C:

HASH: