好友 阅读权限 10
听众 最后登录 1970-1-1
t2st
发表于 2016-2-25 16:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 t2st 于 2016-2-25 17:10 编辑 简述 VirLock的“敲诈者”病毒。它主要是通过强锁电脑里的文档、图片等重要资料,借机敲诈用户赎金0.71比特币(约1000元人民币)。 病毒描述 攻击行为一:感染用户数据文件及可执行文件 感染文件类型 主要感染现象 被感染的文件与原文件图片一致,但是被感染文件是一个可执行病毒文件,再次执行会触发病毒感染行为。 分析流程 通过行为检测得知病毒样本会对数据文件及可执行文件进行感染,将测试文件"1.JPG"放置C盘目录下。通过感染型病毒的遍历磁盘的特征对FindFirstFile()和FindNextFile()这两个API函数下断点。 样本对计算机磁盘按照A-Z遍历磁盘,由于测试环境没有软盘,就从C盘开始遍历文件,获取到文件名后提取后缀名进行逐一匹配。 调用ExtractAssociatedIconW()对正在感染的文件进行判断,确认它是否存在图标,如果存在图标再调用GetIconInfo获得图标的大小,接着创建ioc文件,这个ioc文件生成在样本所在的目录下,也就是我们的桌面。
通过调用CreateFile创建了poEc.exe文件,生成目录是样本所在的文件夹里,也就是桌面,并通过WriteFile()写入数据。 通过调用UpdateResource来交换poEC.exe和IOik.ico的图标文件,交换后调用EndUpdateResource来终止在poEx.exe中的资源更新,然后通过CopyFile()将伪造的病毒执行文件拷贝到感染文件的目录下。
通过DeleteFile删除了被感染的文件,以及创建在样本目录的恶意程序和图标,完成感染。[原始文件并没有被删除的,只是被加密了。后来写修复程序的时候才反应过来报告中写错了!] (T_T) 攻击行为二:篡改用户密码 篡改当前用户,并创建一个新的用户。 分析流程 恶意篡改计算机当前用户,并将创建的"p9jgjgjgjp9udmdm"用户添加到administrators组、remote desktop组。 攻击行为三:弹出勒索提示,挟持用户界面 病毒全盘感染完毕之后,会弹出勒索提示框进行警告,病毒会勒索0.71 BTC(约合人民币1000元)。 分析流程 经过测试猜测挟持界面主要由被感染的病毒样本释放出来的"bIQckwEg.exe"控制,考虑进一步分析其行为特征。 攻击行为四:感染病毒后缀名隐藏 通过修改注册表"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"中的HideFileExt和Hidden的键值,达到隐藏后缀名欺骗用户点击感染病毒的文件。 分析流程 后缀名隐藏主要是为了将病毒文件伪装成被感染文件,从而欺骗用户点击执行可执行病毒文件。这里主要是通过修改注册表,达到隐藏后缀名。 攻击行为五:自启动/注册系统服务项 "C:\Documents and Settings\Administrator\oUskAAMo\"下创建"Niwgglgm.exe" "C:\Documents and Settings\All Users\deIEggYc\"下创建文件"aAYEQwMk.exe" "aAYEQwMk.exe"注册到系统服务中,服务名为"OIowMkax"(服务名也是随机的大小写字母)。 分析流程 创建文件通过调用CreateFile,设置自启动主要是通过调用注册表API函数将病毒感染样本释放出来的"bIQckwEg.exe"、"Niwgglgm.exe"加入到了启动项。"aAYEQwMk.exe"注册到系统服务中,估计是通过调用CreateService来实现的。 攻击行为六:守护进程 "Niwgglgm.exe":主要负责感染系统可执行文件及数据文档。 攻击行为七:关闭UAC(系统安全功能) 由于测试环境是XP系统,而UAC是属于Windows 7里的系统安全功能。 后话 最近开始看一些感染类型的样本,整理之前学习资料看到以前写报告,就分享出来,可能有很多地方写的不对,但是大家不要在意细节啦。不过也欢迎大家指出不足的地方!挺喜欢这个板块的,把写的一些报告发这里记录自己这个菜鸟的成长。 ┑( ̄。。 ̄)┍
查看全部评分
发帖前要善用【论坛搜索 】 功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
[复制链接]
发表于 2016-2-25 16:48
