吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32736|回复: 103
收起左侧

[PC样本分析] 火绒安全警报: 新型宏病毒通过Excel传播 暗刷2345网站牟利

  [复制链接]
火绒安全实验室 发表于 2019-6-21 16:50
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-6-21 16:52 编辑

【快讯】火绒安全团队发出警告,近日,一批新型宏病毒正通过Excel文件传播,该病毒入侵电脑运行后,会悄悄访问带有推广计费名的2345网址暗刷流量,并且还会感染电脑上其它的Excel文件,然后通过这些文件传播给其它电脑,被感染的Excel文件打开后会出现"安全警告 宏已被禁用"的提示。
image005.png
分析显示,该病毒会调用IE浏览器来访问带有推广计费名的2345导航网址。而且,该病毒异常狡猾,为了提升自己的隐蔽性,在刷流量前会先检测用户是否开启IE浏览器进程。如果没有,则主动开启微软官方页面,让用户误把病毒刷流量的进程当成官方页面进程,从而避免被关闭。
火绒工程师提醒大家,由于Excel文件是工作、学习中常用文件,极易导致该病毒在公司、学校等范围内快速传播,请广大用户及时做好防范工作。火绒用户无需担心,火绒产品最新版即可查杀该病毒。
image006.png

附【分析报告】:
一、样本分析
近期,火绒截获到一批宏感染型样本,该病毒运行后会隐藏访问带有推广计费名的2345导航网址暗刷流量,并且还会感染其他Excel工作簿文件。被感染文档打开后,都会出现如下图所示:
image007.png
被感染文档
被感染文档中会出现宏病毒代码,如下图所示:
   image008.png
病毒宏代码
该病毒为了提高自身隐蔽性,在暗刷流量前还会检测IE浏览器进程是否存在,如果不存在则会先启动微软office官方页面(https://products.office.com/zh-CN/),通过此方法让用户误以为暗刷流量的IE浏览器进程与刚刚被启动的IE浏览器有关。在准备工作完成后,病毒代码会通过ActiveX对象调用IE浏览器访问带有推广计费名的2345导航网址。因为通过这种方式被宏脚本调用的其他程序启动时都是隐藏的,所以普通用户不会有所察觉。相关代码,如下图所示:
   image009.png
暗刷流量相关代码
暗刷流量时的进程树,如下图所示:
   image010.png
进程树
通过窗体控制工具可以显示IE浏览器窗体,如下图所示:
   image011.png
暗刷流量的IE浏览器窗体
病毒感染相关代码执行后,会先在XLSTART目录下创建名为authorization.xls的Excel文档,并将病毒代码前100行插入到该文档的宏模块中,之后续追加的病毒函数调用代码,使authorization.xls主要为用来感染其他Excel文档。authorization.xls被创建后,所有被启动的Excel文档都会加载执行该宏病毒代码。相关代码,如下图所示:
   image012.png
在XLSTART目录中释放病毒宏文档
image013.png
在XLSTART目录中被创建的病毒Excel文档
当有其他Excel文档被打开时,如果当前文档ThisWorkbook宏模块前10行中存在"update"、"boosting"、"person"关键字,则会将ThisWorkbook宏模块中的原始代码删除,删除行数与病毒代码行数相同。之后,将病毒宏代码前100行插入到ThisWorkbook宏模块中,再加入相关调用代码。被追加的调用代码决定被感染的Excel主要会释放authorization.xls、暗刷流量。相关代码,如下图所示:
   image014.png
感染代码

二、附录
样本hash: image015.png

免费评分

参与人数 37吾爱币 +35 热心值 +36 收起 理由
Spareks + 1 谢谢@Thanks!
luoluoluobida + 1 + 1 我很赞同!
g3kjkaqemaq + 1 鼓励转贴优秀软件安全工具和文档!
52lxw + 1 + 1 我很赞同!
fei8255 + 1 + 1 用心讨论,共获提升!
鱼先生 + 1 + 1 2345太流氓了吧
railgunsaber + 1 + 1 谢谢@Thanks!
Ldf9522 + 1 + 1 谢谢@Thanks!
lookerJ + 1 + 1 热心回复!
tnnd040868 + 1 + 1 我很赞同!
汉庭劶 + 1 + 1 我很赞同!
hhTron + 1 + 1 谢谢@Thanks!
fangchang819 + 1 + 1 谢谢@Thanks!
lp-cg + 1 + 1 2345这个大毒瘤!
小文七落 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
静叶流云 + 1 + 1 用心讨论,共获提升!
justicemickey + 1 + 1 谢谢@Thanks!
tte + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
夏之天狼星 + 1 + 1 谢谢@Thanks!
禾水木 + 1 + 1 谢谢@Thanks!
yyx55520 + 1 + 1 抗争到底
识趣灬 + 1 + 1 我很赞同!
卡拉肖克倩 + 1 + 1 越来越流氓了
纯粹520 + 1 我很赞同!
老白啊 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
xiaojiang_320 + 1 + 1 狗币2345咋越来越厉害了,没人管管他们吗
战歌酒吧 + 1 + 1 谢谢@Thanks!
叶樱枫 + 1 + 1 谢谢@Thanks!
Mr.Eleven + 1 + 1 谢谢@Thanks!
古或郎 + 1 + 1 用心讨论,共获提升!
dglaobing + 1 + 1 这个网址举报了吗
www.52pojie.cn + 2 + 1 2345简直就是个毒瘤
pandore + 1 + 1 谢谢@Thanks!
Shostakovich + 1 + 1 我很赞同!
hst520520 + 1 + 1 我很赞同!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

JuncoJet 发表于 2019-6-21 17:11
VBer路过,代码已阅。没啥技术含量。
stopit 发表于 2019-6-24 08:41
谢谢楼主,真的学习到了,没进坛子之前,电脑总是被莫名的安装各种软件,但是类似金山毒霸之类的杀毒软件根本查不出来,也没有任何提示,现在明白了。不过火绒真的不错,之前安装毒霸电脑卡的类似死机状,办公效率低的吓人。
离人心上秋意浓 发表于 2019-6-21 16:57
前排围观大佬! 还好我安装的火绒没有提示有此类病毒,感谢分享
MIVIP 发表于 2019-6-21 17:28
火绒感觉还不错
diwang2580 发表于 2019-6-21 17:30
我没看错火绒,一直都看好
惟蓝梦醉 发表于 2019-6-21 17:47
火绒这么强大的吗?


yis 发表于 2019-6-21 17:58
2345太流氓了  MD  卸载都卸载不掉的
2016凯凯 发表于 2019-6-21 18:29
本帖最后由 2016凯凯 于 2019-6-21 18:33 编辑

火绒牛皮
FleTime 发表于 2019-6-21 18:33
支持,一直都在用火绒
你看电视吧 发表于 2019-6-21 18:37
支持,一直都在用火绒
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表