查看: 3079|回复: 2
收起左侧

[分享] 后门病毒伪装成正常文件,正通过微信群大肆传播

[复制链接]
火绒工程师
发表于 2023-4-6 19:07:30 | 显示全部楼层 |阅读模式
火绒威胁情报系统监测到一款名为“DcRat”的后门病毒新变种,正通过伪装成正常文件名的方式在微信群中大肆传播。经分析发现,该病毒入侵电脑后,存在收集用户隐私信息、远控用户电脑等危害。这是继“Xidu”病毒后又一款通过伪装来诱导用户,并通过即时通讯软件传播的病毒,用户一不小心就会中招,短期内火绒已拦截数千台受影响终端,还请广大用户保持警惕。



病毒传播趋势图



该黑客团伙将病毒伪装成的各类文件(文档、图片、视频等)发送给微信群聊中的用户,并诱导用户打开,随后实施收集信息等恶意行为。

病毒伪装所使用的文件名列表,如下图所示:


病毒伪装的文件名列表



火绒安全实验室分析发现,该病毒运行后,会窃取用户电脑中文件,并收集用户信息如用户名、操作系统版本,记录键盘、麦克风和摄像头数据。除此之外还可远程控制受害者终端执行任意操作。


为了长久驻留用户电脑中,该病毒还会添加注册表和计划任务来进行持久化。同时与安全软件做对抗,如通过加载执行远程恶意模块对抗安全软件查杀、结束安全软件进程等,行为十分恶劣。



在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,建议先查杀再使用。目前,火绒安全产品可对上述病毒进行拦截查杀。已中毒的用户,可使用火绒【全盘扫描】彻底查杀该病毒。


一、样本分析
病毒执行流程,如下图所示:


病毒执行流程图

该病毒启动后,会从C&C服务器下载执行shellcode,相关代码,如下图所示:


下载执行shellcode

在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀,相关代码,如下图所示:


shellcode内存加载.NET后门模块

该.NET后门模块为开源远控DcRat,该远控具备各种恶意功能如:键盘记录、文件窃取、远程控制、录音录像等恶意功能,大部分恶意功能都是以插件的形式下发执行。远控客户端收集受害者信息如:用户名、操作系统版本、是否存在摄像头、是否存在杀毒软件等信息(个别变种还会收集QQ号)并发送给C&C服务器,相关代码,如下图所示:


发送受害者信息

还会结束安全工具和安全软件进程,防止自身暴露,相关代码,如下图所示:


结束安全工具和安全软件进程
还会检测虚拟机环境,相关代码,如下图所示:


检测虚拟机环境

还会添加注册表和计划任务来进行持久化,相关代码,如下图所示:


添加持久化

键盘记录、文件窃取、远程控制、录音录像等恶意功能都是以插件的形式下发执行,相关代码,如下图所示:



接收执行插件
二、附录
C&C:




HASH:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wwwab
发表于 2023-4-6 22:00:59 | 显示全部楼层
这工程师是第一次写文章吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
virusscan + 1 很给力!

查看全部评分

我是UD
发表于 2023-5-24 20:14:27 | 显示全部楼层
wwwab 发表于 2023-4-6 22:00
这工程师是第一次写文章吧

典型的无限if else
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:22 , Processed in 0.131597 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表