勿轻易解压陌生压缩包，后门病毒或在其中

逆向病毒分析 11个月前 admin

178 0 0

近期，火绒威胁情报系统监测到后门病毒伪装成“36种财会人员必备技巧(珍藏版) .rar”在微信群聊中快速传播。经火绒工程师分析发现，用户打开解压后的.exe文件后，该病毒则会运行，随后执行终止杀软进程、禁止杀软自启动，以及操控受害者终端并执行文件监控、远程控制、键盘记录等恶意行为，对用户构成很大的安全威胁。

群聊截图

在此，火绒工程师提醒大家时刻注意群聊中发送的陌生文件，如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。

查杀图

一

样本分析

病毒执行流程，如下图所示：

病毒的执行流程

由于杀毒软件Zemana的反病毒驱动启动时，会根据注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesZAM_BootCleanerDeleteServices中的值来删除对应的驱动注册表项，黑客利用这一特性，在病毒启动后向该注册表位置中写入其他杀毒软件的驱动注册项名，来删除其他杀毒软件的驱动注册项，如下图所示：

向注册表写入代码

会被删除的驱动列表，如下图所示：

驱动列表

释放并加载ZAM杀软驱动，相关代码，如下图所示：

释放驱动并加载

之后再利用该驱动的接口来终止其他杀毒软件进程，相关代码，如下所示：

终止其他进程相关代码

通过镜像劫持功能，禁止杀毒软件进程启动，火绒剑监控到的行为，如下图所示：

火绒剑监控到的行为

等禁用杀毒软件之后，会从C&C服务器获取对应的配置文件，根据配置文件下载Loader模块，相关代码，如下所示：

获取配置信息

根据配置信息下载Loader模块CMO03.exe到C:UsersYourUserNameAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup目录下并执行，火绒剑监控到的行为，如下图所示：

火绒剑监控到的行为

该模块从资源中解密，并执行shellcode1，相关代码，如下图所示：

解密执行shellcode1

在shellcode1中会从C&C服务器接收、执行shellcode2，相关代码，如下图所示：

接收、执行shellcode2

在shellcode2中会内存加载后门模块，相关代码，如下图所示：

内存加载后门模块

该后门模块具备各种恶意功能如：键盘记录、文件窃取、远程控制等恶意功能，以下对一些较为重要的恶意代码进行举例说明，远程控制相关代码，如下图所示：

远程控制

执行C&C服务器下发的程序，相关代码，如下图所示：

执行C&C服务器下发的任意程序

键盘记录，相关代码，如下图所示：

键盘记录

二

附录

C&C：

HASH：

扫码关注

了解更多安全干货、资讯、以及火绒安全大事记

原文始发于微信公众号（火绒安全）：勿轻易解压陌生压缩包，后门病毒或在其中

版权声明：admin 发表于 2023年6月12日下午2:57。
转载请注明：勿轻易解压陌生压缩包，后门病毒或在其中 | CTF导航

【远控木马】银狐组织最新木马样本-分析

admin

110

Kaiji僵尸网络重出江湖，Ares黑客团伙浮出水面？

admin

422

Tellyouthepass活跃攻击预警

admin

195

逆向工程演练:分析Arechclient2示例

admin

169

Shiz病毒新变种出现多种对抗窃取信息

admin

可扩展和语义保持的反病毒引擎标签挖掘

admin

暂无评论

您必须登录才能参与评论！

立即登录

暂无评论...

勿轻易解压陌生压缩包，后门病毒或在其中

源码特洛伊木马攻击

游戏玩家注意！AT&T检测到一种隐蔽的远程访问木马

相关文章

暂无评论

相关文章

勿轻易解压陌生压缩包，后门病毒或在其中

源码特洛伊木马攻击

游戏玩家注意！AT&T检测到一种隐蔽的远程访问木马

相关文章

暂无评论

广告位

相关文章