0x1 事件概述
不久前,金山毒霸安全实验室接到云南省某医院的求助。其单位20多台电脑中病毒,重要资料全部变成后缀为exe的可执行文件。随后,金山毒霸反病毒专家分析其提供的病毒样本,在第一时间作出修复工具,帮助恢复数据,并提供安全防护建议,加固办公 安全。
0x2 病毒原理
类型
该病毒属于典型的感染型病毒,主要包含两个功能:感染图片和文档,远程控制。
手法
该病毒运行时会扫描电脑中所有后缀为doc/xls/jpg/rar 的文件,将其感染为可执行的exe病毒文件。当用户打开被感染的文件时,会将原来的文件释放并打开,并在后台悄悄运行病毒,达到持续远控和存活的目的。这样,用户打开被感染的文件时,仍然能看到原先的文件内容,但是木马程序已在系统中运行,会对系统造成持续的破坏。
传播
该病毒主要通过U盘在内网中传播,外网环境感染量不大。
0x3 详细分析
病毒流程图
远控模块
该病毒的远控协议比较简单,通过socket连接服务器,然后根据返回的指令执行相应的操作,包括关机,弹窗,感染文件,添加用户,释放文件和自删除。
感染逻辑
该病毒感染文件的逻辑也比较简单,把将要的感染的文件直接放在自身exe的后面,然后把文件的大小在磁盘偏移 0x404处,文件格式写在磁盘偏移 0x40C 处;之后再根据文件格式,在资源表中找到相应的图标,将感染的文件设置成该图标,回写并重命名为后缀exe的文件。
如图,感染后的exe 在0x404 和 0x40C 的偏移内容如下。这表示被感染的原文件大小为0x95ED,文件格式为jpg。而在设置的0x400 处的11111111 ,以及0x408 处的 22222222 则表示该文件已被感染。
添加用户
通过执行X.bat脚本方式创建用户。
自删除
同上,也是通过创建和执行X.bat脚本的方式。
0x4 安全建议
金山毒霸安全专家建议各企业和单位,不要随意退出杀毒软件,不要随意打开可疑文档和来源不明的文件,平时做好U盘杀毒防护,不随便打开陌生邮件和下载其中的附件。目前,金山毒霸可查杀此类病毒,如有遇到相关问题的用户,请联系毒霸工程师(QQ:800042100),我们将提供免费服务。
| 
发表于 2018-9-14 14:57:41
