在各下载网站中带有蠕虫的SHEditor工具
本帖最后由 ghostsang 于 2020-4-16 15:13 编辑在下载网站投放的带有蠕虫的SHEditor工具
分子实验室——www.molecule-labs.com
1.1. 事件概况
在吾爱样本区有人发布SHEditor工具存在蠕虫病毒的情况.
其中带病毒的下载网站:
下载之家: www.downza.cn/soft/273150.html (带病毒的)
绿色先锋: www.greenxf.com/soft/241080.html (带病毒的)
pc6下载站: www.pc6.com/softview/SoftView_625619.html (带病毒的)
无毒的下载网站:
当下软件园: www.downxia.com/downinfo/222368.html
易语言资源网: www.eyuyan.la/post/12755.html
原贴:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1157711&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline
1.2. 事件分析原本文件与带毒文件对比
带毒的sheditor文件比无毒的大61440字节,并且无毒出现时间为14年9月9日,而有毒时间为2018年11月15日.
在对比工具中,我们可以看到有毒的sheditor比无毒的多出了一小节.
比原文件多了.rmnet段
将这一节提取出来,拖入IDA,我们可以看到这一节包含了一个exe文件
病毒文件执行分析
接下来我们将这个带病毒的sheditor拖入火绒剑进行监控.
我们可以看到病毒文件释放了一个叫做DesktopLayer.exe的蠕虫病毒,并且这个蠕虫病毒创建了iexplore.exe进程.并且在注册表中将自身写入userinit.exe注册表项中
随后我们可以看到,iexplore.exe 对html,dll,exe,htm文件进行写入的操作
我们将原来的html文件与被写入的html文件进行对比,可以看到被写入的html被写入了脚本内容.意味着执行这些被修改的html就会执行这个脚本
病毒威胁情报
在分析平台中我们可以看到这个病毒很早就已经出现了,只不过又被塞进了别的软件里面.
以有的分析贴:https://www.freebuf.com/vuls/175542.html
1.3. 事件总结
原文件创建的时间为14年9月,而被加入蠕虫的sheditor的时间为18年11月,并且多了.rmnet段, 被蠕虫病毒写入的html文件会多了一段VB脚本.
1.4. 建议
下载文件需谨慎, 在许多没有安全保障的下载网址下都可能存在着攻击者投放的恶意病毒.
IOCS列表
Url
fget-career.com
文件md5
FF5E1F27193CE51EEC318714EF038BEF1B8C4CDBA3C49D4A61328B0C588AA1DBF60935A6129A2C9884519FD020F29BE9 awzs7758520 发表于 2020-4-16 18:20
Symantec Ramnit Removal Tool蠕虫专杀工具能杀得掉吗
老病毒应该可以吧。我用卡巴试了一下,能把60KB的病毒剥离掉。 谢谢楼主高手提醒{:1_921:}{:1_921:}{:1_921:} 哟,绿色媳妇又出事了? 感谢楼主分享技术以及经验,最好不要到外面去下载 感谢分享 前几天刚被这个病毒攻击过 我在pc6下载过其他软件,估计中招了。我的系统盘剩余空间莫名其妙变小然后又变大 谢谢分享 了解下
页:
[1]
2