基本信息
报告名称:关于最近出现的照片.exe升级版分析
作者:willJ
报告更新日期:2012/7/22
样本发现日期:未知
样本类型:捆绑后门型
样本文件大小/被感染文件变化长度:73728 字节
样本文件MD5 校验值:9937c1c5bb9d8662206d9bbca24a16c9
壳信息:无壳
可能受到威胁的系统:window操作系统
简介
最近网上暴露了一些以前利用暴风update来加载dll的升级版病毒,通过诱惑的名字以及用照片的图片作为可执行程序的图标诱使用户点击,弹出一个照片,这时木马病毒已经悄悄在后台运行。
被感染系统及网络症状
在C:\Program Files目录下面会多出一个暴风2文件夹,文件夹中包含一个正常的暴风.exe(带签名)和一个被劫持的DLL,C:\Program Files下面会生成一个正常的0.jpg就是显示的照片。
网络症状
连接地址:air66484686.eicp.net
详细分析/功能介绍
1.动态获取文件查找相关的API,查找当前目录下面有没有jpg结尾的文件
2.如果没有找到jpg文件,就会启动自己写的一个画图程序,也就是一个正常代码执行
这个也就是学习window程序设计需要练习的程序
3.如果发现了jpg文件,申请一个200000H的空间来读取图片内容
4.
在C:\Program Files下面释放一个0.jpg,调用shellexecute打开图片 5.创建c:\\Program Files\\暴风2文件夹,然后在文件目录下面释放一个StormPlayer.dll(这个是可以被劫持的dll),向文件尾写入大量无效的数据,通过自增大可能可以防止云吧。
6.在c:\\Program Files\\释放一个tmp.dat文件,可能是用来存储键盘记录的数据
7.载入释放的dll程序,Call dll的一个导出函数DllRegisterServer,作用是释放一个正常的带签名的StormPlayer.exe(暴风),然后运行暴风程序,达到一个白签名的程序调用一个有威胁的dll,绕过杀软。
8.这个时候后门程序已经在后台运行了,功能代码就在释放的dll里面,其实有键盘记录等各种黑客操作,这个dll也写得比较巧妙,各种API都是动态获取的,而且字符串都是base64加密的,要用的时候再解密使用。
预防及修复措施
不要去接收那些未知的exe或者运行,不要被那些诱惑的名字诱惑了
修复方式:
结束掉任务管理器的stormPlayer.exe
清理c:\\Program Files\\下面的暴风2文件夹,还有tmp.dat,如果你比较喜欢那张照片可以留下0,jpg,呵呵。
[复制链接]
发表于 2012-7-23 20:55
发表于 2012-7-23 21:07
发表于 2012-7-23 21:13
可惜美女看不见样子呢
