今天看见群里几个学生电脑中毒了,发一篇19年该病毒的分析报告,没有技术可言,自己现在看感觉当时好像做了分析报告,但是好像啥都没写,hhhh(大佬们勿喷)一个是学校通知的文档带下去的,估计是发通知的人电脑中招了(学校一般不会发送带宏的文件,大家开宏还是谨慎一点吧) 跟他说了之后他去看了学校官网,发现全是这类木马了 另一个是公众号下载的某盘下载器带的木马
(1)判断指定目录下是否存在病毒
(2)没有文件则设置缓存路径和文件,并且配置ini文件
设置缓存路径及文件如下:
配置ini文件提取内容及服务器和下载文件地址
邮箱配置如下:
感染文件和记录信息启动配置:
(3)设置自启动A.释放病毒B.设置自启动(4)是首次运行则执行病毒
文件信息sha256:11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748md5:21DE97CF684A5D7D3197A75D0F11FFA2sha1:5340788DB50BC7B26D22DC48D0D24D91AA824551文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]文件大小 771584 字节(753 KB)壳信息 无壳文件描述 Synaptics Pointing Device Driver
(1) 感染exe文件获取目录查找exe文件: 设置感染标志(根据是否含有资源段EXERESX判断是否被感染): 感染文件(在临时目录生成文件,将原文件作为资源段打包): (2)感染xlsx文件查找xlsx文件: 建立感染标记(根据文件是否含有XLSX资源段判断是否被感染): 释放宏(在临时目录建立随机文件,将资源段XLSX资源段释放): 感染文件(设置宏,并复制病毒到文件~$cache1): 宏文件功能就是恢复原文件并且启动病毒,再将宏清除: (3)建立线程497CF0自动更新病毒版本(联网失败之后无法动态跟进,后面为静态分析)A.在临时目录生成随机exe和ini文件 B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行 (4)配置server并且建立线程Start Address连接 (5)设置设备和目录监视,记录文件操作 (6)设置USB和键盘Hook,将信息记录到缓存路径下新建目录WS下加载Hook的DLL: 设置Hook启动和取消: 记录到文件: (7)建立线程传输文件到指定邮箱 5.总结 程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件,并且在被运行时释放原程序并设置隐藏,让原文件能够正常启动,掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件,当启用宏时病毒也会被运行,是较为少见的感染方式。最后病毒通过自身的DLL设置Hook记录用户敏感信息,并且建立线程联网可以进行自动更新,下载其他病毒文件,并且获取用户的信息发送到自己的邮箱。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
轻装前行 公众号营销号