吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4529|回复: 24
收起左侧

[PC样本分析] 蠕虫病毒伪装传播,根目录文件遭神秘删除

   关闭 [复制链接]
火绒安全实验室 发表于 2024-7-3 19:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2024-7-3 19:09 编辑

近期,火绒威胁情报中心监测到一款通过改名为USB Disk来欺骗用户执行的蠕虫病毒正在传播,火绒安全工程师第一时间提取样本进行分析。分析过程中发现该程序在后台自动感染每个插入的可移动磁盘,并将原文件移动到一个隐藏文件夹中。随后,程序创建一个名为“USB Disk.exe”的文件,诱导用户点击以执行病毒程序。同时,程序还会启动后门进程,试图控制用户主机成为自己的肉鸡。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
000.png
火绒6.0查杀图

样本执行流程图如下所示:
Image-1.png
流程图

在此,火绒工程师提醒大家对来历不明的文件应保持警惕,同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。目前,火绒6.0已正式上线,综合用户的实际场景、使用感受和建议等多个方面,在形式、功能和操作等方面均进行了改进与创新,升级反病毒引擎等核心技术,精细化病毒查杀设置,增加更多威胁检测点,为“杀、防、管、控”增强壁垒。欢迎大家前往火绒官方网站下载体验。


一、样本分析
分析得出该病毒通过多个模块协同工作,通过白加黑的手段,具备较强的隐蔽性。其包含U盘传播、虚拟机检测、自启动设置、文件管理和CMD后门等多种恶意行为。

其中白文件是wwntray.exe(第二启动器)、Transfer.exe(蠕虫启动器)、Permissions.exe(后门启动器),它们主要是通过调用dll导出函数的方式执行恶意代码。

样本USB Disk.exe在刚被制作出来时并不能完整运行,因为需要满足多种条件才可执行,所以需要通过transfer.exe启动蠕虫并感染第一个可移动磁盘,从而“帮助”它满足条件才可以真正开始传播。

传播的方式是将USB Disk.exe放入到可移动磁盘中的根目录下,同目录下其他六个文件放入到可移动磁盘的隐藏目录中。之后在其他主机上使用该可移动硬盘并运行USB Disk.exe时,总启动器USB Disk.exe就会执行同目录下病毒文件夹中的wwntray.exe实现从可移动磁盘逆感染主机的操作,此时被感染的主机就会在后台执行蠕虫模块和后门模块,使每一个插入该主机的可移动磁盘都会被感染,重复第一次transfer.exe完成的操作。

初始化
病毒在运行蠕虫模块和后门模块前会进行一系列检查、持久化设置、删除部分文件等操作。
样本会在感染U盘时,将程序改名为USB Disk.exe,以诱导用户点击并执行。所以当USB Disk.exe程序在用户的U盘中出现时,意味着该U盘可能已被该病毒感染。

USB Disk.exe
该程序首先通过GetModuleFileName检查当前目录是否为盘符的根目录,如果不是,则结束运行。
随后,通过CreateProcess启动explorer.exe,参数为藏有U盘原文件的目录,此操作的主要目的是打开并展示受害者U盘中的原始文件,从而试图让受害者误以为自己仅仅是打开了USB Disk文件夹而不是病毒。
Image-2.png
打开原始文件目录
Image-3.png
U 盘中原始文件目录

接着通过传入字符串参数"(C:)"来寻找磁盘根目录窗口并发送关闭窗口指令,目的是为了让受害者感受到打开的就是一个普通的文件夹。
Image-4.png
关闭磁盘根目录窗口

并通过OpenEvent参数ConfigurantionDebug4防止程序多开wwnotray.exe,随后执行wwnotray.exe,参数为-debug。
Image-5.png
执行 wwnotray.exe

wwnotray.exe
wwnotray.exe加载wweb32.dll并执行该dll导出表中的ShowModalWordWebWEx函数,该函数包括持久化操作、执行蠕虫和后门模块等功能。
Image-6.png
执行 ShowModalWordWebWEx 函数

程序首先通过CreateEvent检测事件是否已经存在来防止多开。
Image-7.png
防止多开

动态获取函数地址:
Image-8.png
动态获取函数地址

动态获取函数地址方法如下,主要原理是通过比对函数名Hash值来获取函数地址。
Image-9.png
获取 Windows API 函数地址函数

其执行时会判断参数是否为-debug,以及路径中是否包含$WinUpdate,否则直接结束进程。
Image-10.png
判断逻辑

随后样本开始删除文件C:\users\Public\GBPRSMBAL\WaveEditor.exe和C:\users\Public\GBPRSMBAL\WaveeditNero.exe,根据相关样本推测,这可能是老版本病毒文件名,进行清除。
Image-11.png
删除文件
Image-12.png
删除路径列表

还会删除目录,推测可能也是清除老版本的操作。
Image-13.png
删除目录
Image-14.png
删除目录列表

删除目录的操作是通过cmd命令加上参数/c rd/s/q来完成的。
Image-15.png
CMD 实现删除

通过reg.exe add设置注册表实现蠕虫模块和后门模块的自启动。
其中设置蠕虫模块为自启动的参数为add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Usb" /d "C:\Users\Public\GBPAGVMCZ\Transfer.exe -Install" /f
Image-16.png
设置自启动

创建存放病毒文件的文件夹"C:\Users\Public\GBPUXQLQU",并设置为隐藏文件和系统文件。
Image-17.png
创建病毒文件夹

并把病毒文件复制到该文件夹中,附加参数执行,用于执行蠕虫和后门模块。
Image-18.png
复制后执行蠕虫和后门模块

蠕虫模块
该模块的主要功能是将病毒文件复制到可移动磁盘中,并将可移动磁盘中的文件移动到隐藏文件夹中。最终,它会遍历D盘到L盘中的所有可移动磁盘。
下图是感染后U盘文件结构,可以看出除USB Disk以外均被隐藏。
Image-19.png
U 盘根目录

Transfer.exe加载drivespan.dll并执行函数run执行蠕虫函数。
Image-20.png
执行蠕虫函数

创建事件drivespan4_以防程序多开。
Image-21.png
创建事件

该模块也会动态获取函数地址并填充结构体。
Image-22.png
动态获取函数地址

判断参数是否为Install、判断是否已经有事件防止双开、判断当前盘符是不是可移动磁盘,满足以上所有条件才会开始传播,最后会遍历D盘到L盘中所有可移动磁盘。
Image-23.png
遍历传播逻辑

获取USB Disk名,如果有剩余空间就会填入剩余空间(GB为单位)。
Image-24.png
获取 USB Disk 名字

之后判断是否需要更新,接着创建一个没有名称的文件夹,并将其设置为隐藏和系统文件。需要注意的是,由于该程序会删除U盘根目录下的exe文件,因此这些文件将永久丢失。
Image-25.png
创建文件夹并设置

样本会把全部病毒文件复制到可移动盘中,然后将DAQDeviceControl.exe复制到U盘并重命名为USB Disk.exe,同时修改该文件的version字段为4,并进行标记。接着,将所有可移动盘中的内容移动到一个隐藏文件夹中,使受害者只能通过运行这个USB Disk.exe文件来访问内容。
Image-26.png
感染可移动盘符

后门模块
其主要功能包括搜集主机信息,文件管理和CMD远程执行以及循环发送心跳包以保持连接。该后门功能虽然较少,但是控制端可以通过CMD远程执行任意命令来完全控制被植入后门的主机。
Permission.exe加载RBGUIFramework.dll 并执行函数MainExport执行后门函数。
Image-27.png
执行后门函数

后门模块通过接收的远程服务器的控制码,执行相应的恶意操作。
Image-28.png
接收远程服务器指令

第一个远程命令——搜集主机数据:包括获取计算机名、用户名和系统架构等,可能用于标记受害者。
Image-29.png
搜集主机数据

第二个命令——创建绑定管道的cmd进程以便远程执行命令。
Image-30.png
创建管道

同时通过创建线程循环读取管道数据并发送到服务器,用于回显。
Image-31.png
读取管道内容并发送

第三个命令——接收并通过CMD管道执行远程服务器的指令。
Image-32.png
接收并执行CMD指令

第四个命令——创建文件并把句柄保存到结构体中。
Image-33.png
创建文件

第五个命令——写文件,通过上面创建的句柄写入数据。
Image-34.png
写入文件

第六个命令——删除文件:
Image-35.png
删除文件

此外,后门模块会在开始接收指令前会创建线程,循环发送心跳包,用于检测客户端是否存活,以保持长连接。
Image-36.png
发送心跳包

虚拟机检测
USB Disk.exe还包含一个虚拟机检测函数,目前尚未发现调用该函数的地方。该函数通过获取资源编号103、105和106,主要是解密出检测虚拟机的vmdetect.exe和执行该exe的代码。
首先获取编号为103的资源,即vmdetect.exe,用于检测虚拟机环境。
Image-37.png
创建vmdetect.exe

然后获取105号资源,这是mspdbst.dll,加上偏移0x206000返回。
Image-38.png
获取mspdbst.dll

之后获取106号资源,这是被加密的真正调用vmdetect.exe的函数,会写入到mspdbst.dll偏移0x206000位置并执行,最终获取返回值,以此来判断是不是虚拟机。
Image-39.png
获取106号资源

资源都是被加密的,会通过秘钥异或解密,具体解密如下。
Image-40.png
解密函数

执行vmdetect.exe。
Image-41.png
执行vmdetect.exe

最后会通过调用这段代码来执行vmdetect.exe之后获取返回值来判断是不是虚拟机。
Image-42.png
执行vmdetect.exe代码

vmdetect.exe其中一个检测VirtualBox的原理如下,主要是通过动态链接库、设备、注册表来判断是不是VirtualBox。
Image-43.png
检测虚拟机



二、附录
C&C:
Image-44.png

HASH:
Image-45.png

免费评分

参与人数 4吾爱币 +3 热心值 +4 收起 理由
roundtable + 1 鼓励转贴优秀软件安全工具和文档!
dlpmmk + 1 + 1 热心回复!
zhaoxiaofeng + 1 + 1 我很赞同!
yisun + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

yucaifu 发表于 2024-7-3 21:30
真巧 刚遇到这个病毒   3xx升级到最新版病毒库 查杀不到这个病毒     我这边病毒文件是winudsvcs.exe     希望能出个专杀工具  这个病毒太烦人了
残夕若此 发表于 2024-7-3 19:40
cxl 发表于 2024-7-3 19:41
新版火绒还是 用被动功能好,主动杀一遍我的pc端花与剑模拟器都启动不了了
sxp3468 发表于 2024-7-3 20:00
看个标题 ~路过
magiclyan 发表于 2024-7-3 21:34
不得不说火绒对于病毒、木马查杀检测这方面还是挺及时的
Ybushu 发表于 2024-7-3 23:35
学习到了!
dw6666 发表于 2024-7-4 09:01
谢谢楼主的分享
qqdns 发表于 2024-7-4 10:48
支持,火绒依旧强大学习了
传说中的yang哥 发表于 2024-7-4 11:22
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表