吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24668|回复: 124
收起左侧

[PC样本分析] 你还在用“加了料”的系统还原工具么?

  [复制链接]
火绒安全实验室 发表于 2019-8-7 18:19
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-8-8 10:19 编辑

【快讯】利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。
就在日前,火绒接到用户反馈,称使用U深度U盘启动盘制作工具还原系统之后,安装的火绒安全软件被删除。火绒工程师分析发现,该还原工具可调用病毒程序,根据不同系统环境还原系统时,对指定软件进行删除,并篡改IE浏览器首页。
此外,火绒工程师溯源分析,该还原工具早期版本中的病毒程序不仅可以直接执行删除第三方软件(包括火绒)和一些带有首页劫持功能的流氓软件等恶意行为,还会篡改浏览器首页配置、浏览器收藏夹以及推广其它软件。火绒工程师由此判断,该激活工具是为推广同名软件做准备,从而争夺软件安装计费名进行牟利。
Image-4.png
图:被病毒程序删除的第三方软件
而在新版U深度U盘启动盘中,已经没有推广捆绑等行为,但仍然存在删除第三方软件等遗留恶意行为。虽然此举对用户无法造成实质性危害,但我们依旧建议大家谨慎使用此类还原工具,并使用正版还原软件。用户如果使用过该U盘启动盘制作工具,可使用火绒及时扫描查杀病毒程序。
Image-5.png

一、病毒分析
火绒接到用户反馈,在使用U深度还原GHOST镜像时,备份镜像中的火绒安全软件会被删除。经过分析发现,该GHOST还原程序在还原系统后,会调用NUML0CK.exe进行删除文件的操作。NUML0CK.exe功能主要分为两个部分:PE模式下会删除安全软件、常见的第三方软件和一些带有首页劫持功能的流氓软件;非PE模式下,会篡改浏览器首页、修改浏览器收藏夹等操作。根据上述恶意行为,我们将其定义为病毒进行查杀。
NUML0CK.exe是由AutoIt脚本编译生成的可执行程序,且脚本进行了混淆,所有的分析均基于反混淆后的脚本文件。脚本中用到的所有字符串和数值常量均初始化存储在一个大数组中,然后使用数组元素对变量进行初始化并使用。如下图所示:
Image-6.png
经过混淆的原始脚本文件
由程序的逻辑可以得到所有变量对应的字符串和常量,接下来对NUML0CK.exe实际的功能部分进行分析。NUML0CK.exe首先会读取注册表信息,判断是否运行在PE环境下。相关代码,如下图所示:
Image-7.png
检测是否为PE环境
在PE环境下,NUML0CK.exe会根据还原镜像的不同,对特定镜像中含有的主页锁定程序和推广程序进行处理,从而更加方便自身进行主页锁定和软件推广。NUML0CK.exe判断当前还原镜像需要进行何种操作时,首先会读取还原镜像中的WindowsSystem32config目录下的SYSTEM,SOFTWARE, DEFAULT注册表文件的时间和大小信息,之后连接成字符串,并计算MD5,用于标识特定的镜像文件。相关代码,如下图所示:
Image-8.png
计算镜像文件标识
对于每种特定的不同的镜像文件进行不同的操作,基本上为对镜像文件中的特定首页劫持和推广程序进行删除或用空程序进行替换操作,以及创建结尾为.exe的文件夹,阻止还原后的镜像产生同名的推广安装包程序。如下图所示:
Image-9.png
根据不同镜像进行不同操作
Image-10.png
删除镜像中的文件或用空程序替换
检测随机名驱动,如果存在,则设置标志,并记录驱动名和要删除的程序名。删除随机名驱动和常见杀软驱动的注册表项。当用于标识镜像的MD5串值为6995C85148CC8EED5EDF0904225DDC3F、A8330A79482095C239EF17C3C299883D等,且检测到存在文件MD5为    26F63B278F6061187B37BB8C867B823B、B16CAB3077C11387BB32A4C5E14C47D0等的随机名驱动文件时,触发删除火绒的流程。但由于代码中可能存在bug,当读取分区WindowsSystem32config目录下的SYSTEM注册表文件失败时,也会触发删除流程。如下图所示:
Image-11.png
检测随机名驱动
Image-12.png
删除随机名驱动和常见杀软驱动的注册表项
如果检测到特定随机名驱动,程序还会设置SetupType注册表键值,并继续设置SOFTWARE和USER注册表,最终将删除流程的标记位置1,执行安全软件、常见软件及流氓软件的文件删除流程。如下图所示:
Image-13.png
触发删除流程
删除流程首先会删除分区目录下的劫持首页的流氓程序。如下图所示:
Image-14.png
删除劫持首页的流氓程序
遍历分区两级目录和特殊目录,删除常用的杀软,视频影音等软件的安装包程序。删除软件目录的相关操作疑似用来争夺软件安装计费名,不排除其推广安装同名软件进行牟利的可能性。如下图所示:
Image-15.png
遍历的目录
受病毒影响的软件安装包列表,如下图所示:
Image-16.png
删除的软件安装包
病毒还会删除桌面上特定的后缀为.exe, .lnk和.url文件。如下图所示:
Image-17.png
删除桌面特定文件
删除Program Files目录和Program Files (x86)目录下的常用杀软,视频影音等软件的程序文件夹。删除QQ浏览器的升级程序和2345软件文件夹。如下图所示:
Image-18.png
删除常用软件的安装目录
受影响的软件目录列表,如下图所示:
Image-19.png
删除的程序文件夹
篡改IE浏览器首页,如下图所示:
Image-20.png
篡改首页
该病毒在非PE环境下还会进行劫持首页、添加收藏夹,并将主机的信息加密后上传至服务器。相关行为,如下图所示:
Image-21.png
首页篡改和添加收藏夹
Image-22.png
拼接信息,加密并发送
我们发现使用15年版本的U深度安装系统时,NUML0CK.exe会被添加进开机启动项中,执行非PE环境下的代码,用于篡改首页,添加收藏夹,推广软件等。推广的软件有360安全浏览器,爱奇艺。但在使用最新版的U深度安装系统时,NUML0CK.exe并不会被添加到开机启动项中,不会运行非pe环境下的代码逻辑。究竟是推广策略的变化还是其他的原因不得而知。但是在使用最新的U深度备份系统时,备份程序会首先劫持首页,再进行备份,致使还原出来的系统均会被劫持首页。如下图所示:
Image-23.png
U深度15年版本装机
NUML0CK.exe检测特定的镜像文件,对锁首流氓程序和推广安装包进行检测和处理,并且NUML0CK.exe在之前的版本中被用于推广软件,推测应为与同行争抢安装包推广渠道和首页流量。对于需要进行系统备份的用户,建议使用正版软件,以避免收到类似的病毒威胁。

二、附录
Image-24.png

免费评分

参与人数 21吾爱币 +17 热心值 +18 收起 理由
殷墟的城 + 1 + 1 热心回复!
gison + 1 + 1 谢谢@Thanks!
高音召华 + 1 我很赞同!
Behindyours + 1 + 1 我很赞同!
Dot. + 1 我很赞同!
Pony21 + 1 我很赞同!
fei8255 + 1 + 1 用心讨论,共获提升!
sxhytds + 1 + 1 我很赞同!
YuniNan0 + 1 我很赞同!
C_Y_Y8023 + 1 + 1 谢谢@Thanks!楼主威武
frank_hui + 1 + 1 我很赞同!
zszmm + 1 + 1 我很赞同!
fergus1987 + 1 + 1 我很赞同!
小龙飞 + 1 + 1 我很赞同!
logafo + 1 + 1 多谢指出!!
补补23456 + 1 我很赞同!
antutu + 1 + 1 热心回复!
FleTime + 1 支持我大火绒!
wanpeng + 1 热心回复!
k4jar + 1 + 1 我很赞同!
缘浅丶 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

saomu007 发表于 2019-8-7 18:35
哎 老外给中国放勒索病毒  中国人在中国散布捆绑   前几天玩个欢乐斗地主   低保都没了   在广告中插播斗地主   
只是吐槽   如若违规  请帮忙删除   或提醒本人删除
52PJ_Hugo 发表于 2019-8-7 18:57
csyaaa 发表于 2019-8-7 18:46
求一款好用的pe推荐

不是我推广告,用微PE吧,纯净PE来的,注意百度的广告,作者是以前的通用PE(后来转手卖了不再是他更新)

免费评分

参与人数 2吾爱币 +1 热心值 +2 收起 理由
YuniNan0 + 1 我很赞同!
csyaaa + 1 + 1 谢谢@Thanks!

查看全部评分

永恒陌 发表于 2019-8-8 00:31
DoubleClicker 发表于 2019-8-7 19:17
关键是不要用各种一键重装工具,不要用各种一键ghost系统,尽量不用各种第三方PE工具
直接微软官网下载 ...

咱也不会分析有没有问题,只会体感,我用的一个pe叫杏雨梨云,  没有发现问题。没有锁主页,没有捆绑安装的问题,我是在pe装的微软的镜像。用了大半年这个pe,都没有问题。大佬有兴趣可以查一下这个pe有没有问题。。
夜月里的星光 发表于 2019-8-7 18:28
感谢提醒
努力的笨蛋 发表于 2019-8-7 18:29
很多都是装机软件的问题,下的官方的包都不行。
难为阿! 发表于 2019-8-7 18:29
有什么办法可以去掉这些东西吗  我前几天还用了一个重装软件 担心有问题
我下了 发表于 2019-8-7 18:30
这个都没听说过。。。
tdb133 发表于 2019-8-7 18:35
好久没有这种感觉了,杀软越烈害,病毒越多;杀软免费之后,我好久不装杀软了!没毛病
dxquan 发表于 2019-8-7 18:36
这东西防不胜防
时光SG 发表于 2019-8-7 18:41
感谢提醒,不熟悉的pe不敢乱用啊。
csyaaa 发表于 2019-8-7 18:46
求一款好用的pe推荐
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表