挖矿病毒通过Flash漏洞传播 火绒用户无需升级即可防御
4月24日,火绒安全团队发出警报,病毒团伙利用Adobe Flash漏洞传播挖矿病毒。病毒团伙将挖矿程序植入到游戏下载站“52pk”中(http://www.52pk.com),当用户访问该网站,带毒页面展示后,无需任何操作,挖矿程序便会立即运行,利用用户电脑“挖矿”(门罗币)。特别的是,该病毒使用的“免杀”技术相比以往的简单篡改文件哈希有较大改进,已经有了国外混淆器免杀技术的雏形,在一定程度上提升了安全软件对其查杀的门槛。“火绒安全软件”无需升级即可防御该病毒。http://bbs.huorong.cn/data/attachment/forum/201804/24/175142k6qkw5vkz2wzs763.png
通过我们对该样本的分析,我们发现虽然样本来源为国内,但是其所使用的混淆技术已经具备一些简单的混淆器特征,如:使用无效参数调用系统API、利用系统API影响原始镜像加载流程等。用于解密原始镜像数据的代码数据被存放在资源“YBNHVXA”中,病毒没有使用资源相关的API读取数据而是直接通过硬地址进行数据读取。资源数据,如下图所示:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175154v1shx1ixfcxdi4x1.png
病毒资源
相关代码如下图所示:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175203wn4gao1auzaug9uy.png
获取解密代码
在主要病毒逻辑代码中被插入了大量的无效函数调用,参数全部都为0。如果虚拟机引擎未对这些API进行模拟,则会无法解密出原始镜像数据。虽然该病毒所使用的混淆手法极为简单,但也已经具备了混淆器对抗虚拟机引擎的一些技术特点,可能将来国内病毒与安全软件的对抗方式也会以混淆器为主。相关代码如下图所示:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175213lxxx3mmbxbx1x31b.png
混淆代码
该病毒在火绒虚拟行为沙盒中的运行行为,如下图所示:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175224k2cofoka42ec7f2j.png
虚拟行为沙盒中的病毒行为在混淆代码运行完成后,最终执行的恶意代码会挖取门罗币,矿工相关信息如下图所示:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175236isjpenr2c5f7p1f7.png
矿工信息通过对门罗币钱包地址的查询,我们可以看到当前为该钱包地址进行挖矿的矿工情况,截止到此时矿工总数为483。如下图所述:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175236isjpenr2c5f7p1f7.png
门罗币钱包情况
附录
文中涉及样本SHA256:
http://bbs.huorong.cn/data/attachment/forum/201804/24/175301vjdd0e1o00m3cqkn.png nedesq 发表于 2018-4-24 19:47
火绒并不是很强 很多病毒查不出来!比如说U盘中的驱动
您好,漏杀的病毒欢迎您到火绒论坛上传样本,帮助我们成长 嘴角微微上扬 发表于 2018-4-25 09:34
我看到了“火绒虚拟沙盒”,哈哈,什么时候上线啊?
您好。火绒虚拟沙盒是应用在火绒杀毒引擎中的。没有单独的模块。 很专业的帖子,顶起,感谢 话说我已经裸奔多年了,如果想下载一个安全软件用火绒可靠么 矿工真的什么事都做得出来。。:sleepy:楼主的分析很专业(虽然看不懂:keai) 谢谢楼主分享 感谢楼主分享~ 了解下感谢分享 火绒越来越厉害了。 下个火绒吧 海星海星。