火绒安全软件

标题: 勿轻易解压陌生压缩包,后门病毒或在其中 [打印本页]
作者: huoronganquan    时间: 2023-6-12 14:52
标题: 勿轻易解压陌生压缩包,后门病毒或在其中
本帖最后由 huoronganquan 于 2023-6-12 14:52 编辑

近期,火绒威胁情报系统监测到后门病毒伪装成“36种财会人员必备技巧(珍藏版) .rar”在微信群聊中快速传播。经火绒工程师分析发现,用户打开解压后的.exe文件后,该病毒则会运行,随后执行终止杀软进程、禁止杀软自启动,以及操控受害者终端并执行文件监控、远程控制、键盘记录等恶意行为,对用户构成很大的安全威胁。
Image-0.png
群聊截图


在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
Image-1.png
查杀图


一、样本分析

病毒执行流程,如下图所示:
Image-2.png
病毒的执行流程


由于杀毒软件Zemana的反病毒驱动启动时,会根据注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices中的值来删除对应的驱动注册表项,黑客利用这一特性,在病毒启动后向该注册表位置中写入其他杀毒软件的驱动注册项名,来删除其他杀毒软件的驱动注册项,如下图所示:
Image-3.png
向注册表写入代码


会被删除的驱动列表,如下图所示:
Image-4.png
驱动列表


释放并加载ZAM杀软驱动,相关代码,如下图所示:
Image-5.png
释放驱动并加载


之后再利用该驱动的接口来终止其他杀毒软件进程,相关代码,如下所示:
Image-6.png
终止其他进程相关代码


通过镜像劫持功能,禁止杀毒软件进程启动,火绒剑监控到的行为,如下图所示:
Image-7.png
火绒剑监控到的行为


等禁用杀毒软件之后,会从C&C服务器获取对应的配置文件,根据配置文件下载Loader模块,相关代码,如下所示:
Image-8.png
获取配置信息


根据配置信息下载Loader模块CMO03.exe到C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\目录下并执行,火绒剑监控到的行为,如下图所示:
Image-9.png
火绒剑监控到的行为


该模块从资源中解密,并执行shellcode1,相关代码,如下图所示:
Image-10.png
解密执行shellcode1


在shellcode1中会从C&C服务器接收、执行shellcode2,相关代码,如下图所示:
Image-11.png
接收、执行shellcode2


在shellcode2中会内存加载后门模块,相关代码,如下图所示:
Image-12.png
内存加载后门模块


该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,以下对一些较为重要的恶意代码进行举例说明, 远程控制相关代码,如下图所示:
Image-13.png
远程控制


执行C&C服务器下发的程序,相关代码,如下图所示:
Image-14.png
执行C&C服务器下发的任意程序


键盘记录,相关代码,如下图所示:
Image-15.png
键盘记录

二、附录
C&C:
Image-16.png
HASH:
Image-17.png

作者: 无敌阿杰    时间: 2023-6-12 16:21
360竟然也可以被删除
作者: 化悲痛为力量    时间: 2023-6-12 17:01
解压之前都需要用火绒扫描、查杀一下
作者: 小桑叶儿    时间: 2023-6-12 19:30
火绒的分析报告总是这么硬核,比某个画几张流程图就叫分析报告的公司务实多了,是吧@西风又落
作者: 化悲痛为力量    时间: 2023-6-12 21:56
小桑叶儿 发表于 2023-6-12 19:30
火绒的分析报告总是这么硬核,比某个画几张流程图就叫分析报告的公司务实多了,是吧@西风又落  ...

看他们的社区、论坛很多都是与安全无关的内容,甚至还有很多涉及游戏相关的软硬件
作者: 该用户不存在    时间: 2023-6-13 12:59
啧……这个cc,怎么那么眼熟……
作者: 化悲痛为力量    时间: 2023-6-13 13:17
PC版微信用的比较少主要还是用手机版的
作者: johnt    时间: 2023-6-13 14:57
解压文件后我都要右键扫描一下的。保险一点
作者: 野生君    时间: 2023-6-14 10:21
微信也是传播的途径的了 不像qq还能检测下病毒 希望微信能加入查杀模块,话说解压后火绒会自动查杀吧
作者: GoogleDefender    时间: 2023-6-16 13:21
该用户不存在 发表于 2023-6-13 12:59
啧……这个cc,怎么那么眼熟……

你这个性签名,自取其辱
作者: 该用户不存在    时间: 2023-6-16 14:17
GoogleDefender 发表于 2023-6-16 13:21
你这个性签名,自取其辱

请问不行吗?你莫名其妙的来这样一句话,一是闲的,二也是自取其辱
作者: GoogleDefender    时间: 2023-6-16 14:22
该用户不存在 发表于 2023-6-16 14:17
请问不行吗?你莫名其妙的来这样一句话,一是闲的,二也是自取其辱

你个性签名一堆贬义词,自讽的意境真浓
作者: 黑色系阿琛    时间: 2023-6-16 23:51
绒绒终于出报告了
作者: 该用户不存在    时间: 2023-6-17 12:17
GoogleDefender 发表于 2023-6-16 14:22
你个性签名一堆贬义词,自讽的意境真浓

呵,你看不出来我在说什么也是真的可悲可笑,自讽又不是讽你,不行吗?怎么,最近开始学习赏析句子了吗
作者: dengshaojia    时间: 2023-6-18 18:13
这个后台病毒要怎么删除?
作者: MHLS    时间: 2023-6-18 19:28
dengshaojia 发表于 2023-6-18 18:13
这个后台病毒要怎么删除?

这个病毒火绒恶性木马专杀工具应该能处理
作者: 基泥苔煤114514    时间: 2023-8-2 09:33
我平时也没干什么,怎么在杀毒的时候莫名其妙的扫描出后门病毒?
作者: kaspersky用户    时间: 2023-10-31 22:15
化悲痛为力量 发表于 2023-6-12 17:01
解压之前都需要用火绒扫描、查杀一下

虽然没什么大用。。。                 
作者: ay3728    时间: 2024-7-21 21:39
杀毒软件开启自我保护后也会被干掉吗
作者: 善良的MEMZ    时间: 2024-8-2 09:26
话说那个列表好像没有火绒的项目



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4