吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12155|回复: 57
收起左侧

[PC样本分析] 老病毒借助文档传播活跃七年 目前仅火绒可彻底清除

  [复制链接]
火绒安全实验室 发表于 2020-7-1 10:03
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2020-7-1 13:48 编辑

【快讯】
近期,有用户因文档染毒向火绒求助,火绒工程师分析后,发现为带有后门功能的感染型病毒“Spreadoc”。通过溯源发现,该病毒早于2013年就出现,可感染移动设备和共享目录映射盘符中的EXE、PDF、DOC、DOCX文件,并释放恶意模块,接收窃取电脑文件等远程指令。通过对多款国内外安全软件测试发现,目前只有火绒可以在不破坏原文件的情况下,彻底清除该病毒。

Image-4.png

根据分析,上述几类文件被感染后均会释放感染源恶意模块:被感染的EXE文件会直接在本地执行时释放恶意模块;被感染的PDF、DOC、DOCX文档会先触发CVE-2010-2883(PDF)和CVE-2012-0158(DOC和DOCX)两个漏洞利用代码,通过漏洞释放执行恶意模块。受CVE-2010-2883漏洞影响的Adobe Acrobat Reader软件为8.x到8.2.5版本和9.x到9.4版本,受CVE-2012-0158漏洞影响的Microsoft Office软件为2003 SP3到2010 SP1版本。

感染源恶意模块被执行后,除了会继续感染其它PDF、DOC、DOCX和EXE文件以外,还会执行远控下发的各种指令,包括获取用户电脑文件、屏幕截图、操作注册表以及进程等,甚至还会下发其它恶意模块到本地执行。

火绒工程师表示,感染型病毒是用户常遇的病毒类型之一,其特点就是可以不断的感染文档、文件,导致安全软件会频繁报毒,因此,清除该病毒需要全盘扫描查杀。更重要的是,由于此类病毒会将恶意代码植入到其它执行文件或文档中,暴力的清除整个受感染文档文件并不可取,而火绒对于此类病毒都会只查杀,不损坏文件,请广大火绒用户放心清除。




附【详细报告】
一、详细分析
感染该病毒的EXE、PDF、DOC、DOCX文件执行或打开时,会释放执行感染源恶意模块。感染源模块除了会继续感染其他移动设备和共享目录映射盘符中的PDF、DOC、DOCX和EXE文件以外,还会执行远控下发的各种指令,包括获取用户电脑文件、屏幕截图、操作注册表以及进程等,甚至还会下发其它恶意模块到本地执行。病毒行为流程,如下图所示:

火绒引擎流对象.png
流程图


以EXE文件为例:病毒代码首先执行,解密内层感染模块注入系统进程,同时解密原始文件进行执行。相关现象,如下图所示:

Image-5.png
感染的可执行文件执行进程关系

恶意模块会检查自身所处的系统环境,躲避虚拟机、沙盒、和分析环境。相关代码,如下图所示:

Image-6.png
检查系统环境

当确定为真实环境后,便会解密具有感染功能和后门功能的内层病毒模块,以反射注入系统进程(explorer, ctfmon, taskeng等)的方式加载执行。相关代码,如下图所示:

Image-7.png
根据不同版本的系统选择不同的进程注入

Image-8.png
解密感染和后门模块,反射注入

内层病毒执行后会遍历盘符,感染移动存储设备和网络驱动器中的EXE、PDF、DOC、DOCX文件。同时会开启后门功能,并将感染源病毒模块添加到开机启动项中。相关代码,如下图所示:

Image-9.png
感染、开启后门功能和驻留

Image-10.png
感染移动存储设备

Image-11.png
感染网络驱动器

感染可执行文件时,病毒先拷贝一份病毒母体到%TEMP%目录,添加.EBSS节(其中存储加密压缩后的原始可执行文件), 拷贝原始文件的图标,数字签名信息和时间戳,完成感染后替换源文件。相关代码,如下图所示:

Image-12.png
感染可执行文件

病毒会感染PDF文档,感染后的文档包含 CVE-2010-2883漏洞利用代码。相关代码,如下图所示:

Image-13.png
感染pdf文档

当用户使用包含该漏洞的Adobe Acrobat Reader软件打开感染后的文档时,便会执行漏洞利用代码,释放执行感染源模块ARB77E8.JPEG,同时释放并尝试打开原始文档。相关现象,如下图所示:

Image-14.png
执行感染型病毒并尝试打开原始文档

病毒会感染DOC、DOCX文档,感染后的文档包含CVE-2012-0158漏洞利用代码。相关代码,如下图所示:

Image-15.png
感染word文档(doc, docx)

当用户使用包含该漏洞的word程序打开该文档时,便会执行漏洞利用代码, 释放感染源模块rundll32.exe和原始文档至%TEMP%目录,执行病毒并打开原始文档。相关现象,如下图所示:

Image-16.png
执行病毒并打开原始word文档

该感染型病毒的主要目的是在用户电脑上留下后门,黑客可以通过C&C服务器下发指令,获取用户电脑的文件、屏幕截图、操作注册表和进程、下发执行其他恶意模块等。相关代码,如下图所示:

Image-17.png
后门指令解析执行

二、        附录

样本hash
Image-18.png

免费评分

参与人数 32吾爱币 +32 热心值 +31 收起 理由
cjsh66661 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
KOIIi + 1 + 1 我很赞同!
wodeweiyimpm + 1 + 1 我很赞同!
idiots + 1 + 1 热心回复!
E166ER + 1 + 1 我很赞同!
爱吃糖的梅 + 1 + 1 我很赞同!
wjdxx1985 + 1 + 1 谢谢@Thanks!
t303967 + 1 + 1 我很赞同!
静静地趴着 + 1 + 1 用心讨论,共获提升!
virs520 + 1 + 1 热心回复!
小霖霖 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
小可爱~ + 2 + 1 用心讨论,共获提升!
丶峰宇 + 1 + 1 热心回复!
LJHDSG + 1 + 1 谢谢@Thanks!
万法归一 + 1 + 1 谢谢@Thanks!
你好吃干脆面吗 + 1 + 1 我很赞同!
fei8255 + 1 + 1 谢谢@Thanks!
若兰兮兮 + 1 + 1 热心回复!
kakudesu + 1 + 1 我很赞同!
xy93 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
aisinill + 1 + 1 用心讨论,共获提升!
GtsTsS + 1 + 1 谢谢@Thanks!
马云爱逛京东 + 1 + 1 用心讨论,共获提升!
a369111621 + 1 热心回复!
_小白 + 1 + 1 没有火绒。害怕
Chsier + 1 + 1 用心讨论,共获提升!
圣泽 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
anwen + 1 + 1 我很赞同!
天语逍遥 + 1 + 1 谢谢@Thanks!
XuHonPhin + 1 + 1 热心回复!
Lucifer_BW + 1 + 1 热心回复!
thinkpad_420 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

封羽 发表于 2020-7-1 10:11
咱也看不懂,反正大佬牛鼻就对了
netsparker 发表于 2020-7-1 10:22
xiebaoshan 发表于 2020-7-1 10:34
莫失莫忘angle 发表于 2020-7-1 10:42
看不懂就对了
shenyj 发表于 2020-7-1 10:12
多谢多谢,火绒不错,我喜欢
1000. 发表于 2020-7-1 10:33
一直都在用火绒,多谢分享
水到渠成的执着 发表于 2020-7-1 10:48
哈哈,厉害了
天语逍遥 发表于 2020-7-1 11:05
吓得我赶紧全盘扫描一下看看!火绒还是值得信赖的!
虚幻魔王 发表于 2020-7-1 11:13

麻烦把样本发一下 我毒霸不服
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表