近期,火絨威脅情報系統監測到后門病毒偽裝成“36種財會人員必備技巧(珍藏版) .rar”在微信群聊中快速傳播。經火絨工程師分析發現,用戶打開解壓后的.exe文件后,該病毒則會運行,隨后執行終止殺軟進程、禁止殺軟自啟動,以及操控受害者終端并執行文件監控、遠程控制、鍵盤記錄等惡意行為,對用戶構成很大的安全威脅。

群聊截圖

在此,火絨工程師提醒大家時刻注意群聊中發送的陌生文件,如有必要先使用安全軟件掃描后再使用。火絨安全產品可對上述病毒進行攔截查殺,請用戶及時更新病毒庫以進行防御。

查殺圖

 樣本分析

病毒執行流程,如下圖所示:

病毒的執行流程

由于殺毒軟件Zemana的反病毒驅動啟動時,會根據注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices中的值來刪除對應的驅動注冊表項,黑客利用這一特性,在病毒啟動后向該注冊表位置中寫入其他殺毒軟件的驅動注冊項名,來刪除其他殺毒軟件的驅動注冊項,如下圖所示:

向注冊表寫入代碼

會被刪除的驅動列表,如下圖所示:

驅動列表

釋放并加載ZAM殺軟驅動,相關代碼,如下圖所示:

釋放驅動并加載

之后再利用該驅動的接口來終止其他殺毒軟件進程,相關代碼,如下所示:

終止其他進程相關代碼

通過鏡像劫持功能,禁止殺毒軟件進程啟動,火絨劍監控到的行為,如下圖所示:

火絨劍監控到的行為

等禁用殺毒軟件之后,會從C&C服務器獲取對應的配置文件,根據配置文件下載Loader模塊,相關代碼,如下所示:

獲取配置信息

根據配置信息下載Loader模塊CMO03.exe到C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\目錄下并執行,火絨劍監控到的行為,如下圖所示:

火絨劍監控到的行為

該模塊從資源中解密,并執行shellcode1,相關代碼,如下圖所示:

解密執行shellcode1

在shellcode1中會從C&C服務器接收、執行shellcode2,相關代碼,如下圖所示:

接收、執行shellcode2

在shellcode2中會內存加載后門模塊,相關代碼,如下圖所示:

內存加載后門模塊

該后門模塊具備各種惡意功能如:鍵盤記錄、文件竊取、遠程控制等惡意功能,以下對一些較為重要的惡意代碼進行舉例說明,

遠程控制相關代碼,如下圖所示:

遠程控制

執行C&C服務器下發的程序,相關代碼,如下圖所示:

執行C&C服務器下發的任意程序

鍵盤記錄,相關代碼,如下圖所示:

鍵盤記錄

附錄

C&C:

HASH:

火絨 注冊表
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接