好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ghostsang 于 2020-4-16 15:13 编辑
在下载网站投放的带有蠕虫的SHEditor工具
分子实验室——www.molecule-labs.com
1.1. 事件概况
在吾爱样本区有人发布SHEditor工具存在蠕虫病毒的情况.
其中带病毒的下载网站:
下载之家: www.downza.cn/soft/273150.html (带病毒的)
绿色先锋: www.greenxf.com/soft/241080.html (带病毒的)
pc6下载站: www.pc6.com/softview/SoftView_625619.html (带病毒的)
无毒的下载网站:
当下软件园: www.downxia.com/downinfo/222368.html
易语言资源网: www.eyuyan.la/post/12755.html
原贴:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1157711&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline
1.2. 事件分析原本文件与带毒文件对比
带毒的sheditor文件比无毒的大61440字节,并且无毒出现时间为14年9月9日,而有毒时间为2018年11月15日.
文件对比1
在对比工具中,我们可以看到有毒的sheditor比无毒的多出了一小节.
文件对比2
比原文件多了.rmnet段
文件对比3
将这一节提取出来,拖入IDA,我们可以看到这一节包含了一个exe文件
.rmnet
病毒文件执行分析
接下来我们将这个带病毒的sheditor拖入火绒剑进行监控.
我们可以看到病毒文件释放了一个叫做DesktopLayer.exe的蠕虫病毒,并且这个蠕虫病毒创建了iexplore.exe进程.并且在注册表中将自身写入userinit.exe注册表项中
行为监控1
释放文件
随后我们可以看到,iexplore.exe 对html,dll,exe,htm文件进行写入的操作
行为监控2
我们将原来的html文件与被写入的html文件进行对比,可以看到被写入的html被写入了脚本内容.意味着执行这些被修改的html就会执行这个脚本
html对比
病毒威胁情报
在分析平台中我们可以看到这个病毒很早就已经出现了,只不过又被塞进了别的软件里面.
平台分析1
平台分析2
以有的分析贴:https://www.freebuf.com/vuls/175542.html
1.3. 事件总结
原文件创建的时间为14年9月,而被加入蠕虫的sheditor的时间为18年11月,并且多了.rmnet段, 被蠕虫病毒写入的html文件会多了一段VB脚本.
1.4. 建议
下载文件需谨慎, 在许多没有安全保障的下载网址下都可能存在着攻击者投放的恶意病毒.
IOCS列表
Url
fget-career.com
文件md5
FF5E1F27193CE51EEC318714EF038BEF1B8C4CDBA3C49D4A61328B0C588AA1DBF60935A6129A2C9884519FD020F29BE9 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-4-16 15:00
