99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

新聞資訊
行業(yè)動(dòng)態(tài)

首頁 > 行業(yè)動(dòng)態(tài)

火絨華南銷售及服務(wù)中心|蠕蟲病毒偽裝傳播,根目錄文件遭神秘刪除

近期,火絨威脅情報(bào)中心監(jiān)測(cè)到一款通過改名為USB Disk來欺騙用戶執(zhí)行的蠕蟲病毒正在傳播,火絨安全工程師第一時(shí)間提取樣本進(jìn)行分析。分析過程中發(fā)現(xiàn)該程序在后臺(tái)自動(dòng)感染每個(gè)插入的可移動(dòng)磁盤,并將原文件移動(dòng)到一個(gè)隱藏文件夾中。隨后,程序創(chuàng)建一個(gè)名為“USB Disk.exe”的文件,誘導(dǎo)用戶點(diǎn)擊以執(zhí)行病毒程序。同時(shí),程序還會(huì)啟動(dòng)后門進(jìn)程,試圖控制用戶主機(jī)成為自己的肉雞。目前,火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺,請(qǐng)廣大用戶及時(shí)更新病毒庫以提高防御能力。

2.png

在此,火絨工程師提醒大家對(duì)來歷不明的文件應(yīng)保持警惕,同時(shí)安裝可靠的安全軟件保護(hù)設(shè)備免受惡意軟件和病毒的侵害。目前,火絨6.0已正式上線,綜合用戶的實(shí)際場(chǎng)景、使用感受和建議等多個(gè)方面,在形式、功能和操作等方面均進(jìn)行了改進(jìn)與創(chuàng)新,升級(jí)反病毒引擎等核心技術(shù),精細(xì)化病毒查殺設(shè)置,增加更多威脅檢測(cè)點(diǎn),為“殺、防、管、控”增強(qiáng)壁壘。歡迎大家前往火絨官方網(wǎng)站下載體驗(yàn)。

一、樣本分析

分析得出該病毒通過多個(gè)模塊協(xié)同工作,通過白加黑的手段,具備較強(qiáng)的隱蔽性。其包含U盤傳播、虛擬機(jī)檢測(cè)、自啟動(dòng)設(shè)置、文件管理和CMD后門等多種惡意行為。
其中白文件是wwntray.exe(第二啟動(dòng)器)、Transfer.exe(蠕蟲啟動(dòng)器)、Permissions.exe(后門啟動(dòng)器),它們主要是通過調(diào)用dll導(dǎo)出函數(shù)的方式執(zhí)行惡意代碼。
樣本USB Disk.exe在剛被制作出來時(shí)并不能完整運(yùn)行,因?yàn)樾枰獫M足多種條件才可執(zhí)行,所以需要通過transfer.exe啟動(dòng)蠕蟲并感染第一個(gè)可移動(dòng)磁盤,從而“幫助”它滿足條件才可以真正開始傳播。
傳播的方式是將USB Disk.exe放入到可移動(dòng)磁盤中的根目錄下,同目錄下其他六個(gè)文件放入到可移動(dòng)磁盤的隱藏目錄中。之后在其他主機(jī)上使用該可移動(dòng)硬盤并運(yùn)行USB Disk.exe時(shí),總啟動(dòng)器USB Disk.exe就會(huì)執(zhí)行同目錄下病毒文件夾中的wwntray.exe實(shí)現(xiàn)從可移動(dòng)磁盤逆感染主機(jī)的操作,此時(shí)被感染的主機(jī)就會(huì)在后臺(tái)執(zhí)行蠕蟲模塊和后門模塊,使每一個(gè)插入該主機(jī)的可移動(dòng)磁盤都會(huì)被感染,重復(fù)第一次transfer.exe完成的操作。

初始化
病毒在運(yùn)行蠕蟲模塊和后門模塊前會(huì)進(jìn)行一系列檢查、持久化設(shè)置、刪除部分文件等操作。
樣本會(huì)在感染U盤時(shí),將程序改名為USB Disk.exe,以誘導(dǎo)用戶點(diǎn)擊并執(zhí)行。所以當(dāng)USB Disk.exe程序在用戶的U盤中出現(xiàn)時(shí),意味著該U盤可能已被該病毒感染。

USB Disk.exe
該程序首先通過GetModuleFileName檢查當(dāng)前目錄是否為盤符的根目錄,如果不是,則結(jié)束運(yùn)行。
隨后,通過CreateProcess啟動(dòng)explorer.exe,參數(shù)為藏有U盤原文件的目錄,此操作的主要目的是打開并展示受害者U盤中的原始文件,從而試圖讓受害者誤以為自己僅僅是打開了USB Disk文件夾而不是病毒。
4.png
                                                          打開原始文件目錄

6.png

                                                                      U 盤中原始文件目錄

接著通過傳入字符串參數(shù)"(C:)"來尋找磁盤根目錄窗口并發(fā)送關(guān)閉窗口指令,目的是為了讓受害者感受到打開的就是一個(gè)普通的文件夾。
8.png
                                關(guān)閉磁盤根目錄窗口


并通過OpenEvent參數(shù)ConfigurantionDebug4防止程序多開wwnotray.exe,隨后執(zhí)行wwnotray.exe,參數(shù)為-debug。


9.png

                                             執(zhí)行 wwnotray.exe


wwnotray.exe

wwnotray.exe加載wweb32.dll并執(zhí)行該dll導(dǎo)出表中的ShowModalWordWebWEx函數(shù),該函數(shù)包括持久化操作、執(zhí)行蠕蟲和后門模塊等功能。

10.png

                                執(zhí)行 ShowModalWordWebWEx 函數(shù)

程序首先通過CreateEvent檢測(cè)事件是否已經(jīng)存在來防止多開。


12.png

                                                                 防止多開


詳見:https://mp.weixin.qq.com/s/P_WqwkTT7ppjyXagQjo6PA