欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kuik:一款简单但是烦人的Adware

来源:本站整理 作者:佚名 时间:2018-05-16 TAG: 我要投稿

某些恶意软件虽然非常简单,但一旦被感染上之后我们往往需要耗费很大的精力才能将其清除,尤其是当它们开始干扰你系统配置时。最近我们的安全研究团队,就发现了这样一款名为Kuik的恶意广告软件。攻击者正试图利用这种独特的技术手法,将谷歌浏览器扩展程序和数字货币矿工应用推送给受害者。在本文中,我们将对该恶意广告软件做进一步的技术分析,以及为大家提供相关的移除说明。
技术说明
Stage 1 – .NET installer
0ba20fee958b88c48f3371ec8d8a8e5d
第一阶段是使用.NET编写的伪造Adobe Flash Player图标的应用。这是典型的恶意捆绑,伪装成Adobe Flash Player更新程序欺骗用户安装。

我们使用dotNet反编译器(即dnSpy)打开后发现,该项目的原始名称为WWVaper。

它有三个内部资源:
证书(svr.crt)
一个合法的Flash(诱饵)
下一阶段组件(upp.exe)

证书:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
证书详情:

证书指向yahoo.com的一个DNS名称。但是,证书路径无效:

.NET installer负责安装恶意证书和其他组件。首先,它会枚举网络接口并将收集的IP添加到列表中:

然后,它将新的IP作为DNS(18.219.162.248)添加到收集的接口,并安装自己的证书(svr.crt):

Stage 2 – upp.exe
3a13b73f823f081bcdc57ea8cc3140ac
此应用是一个未被混淆过的installer bundle。在里面,我们找到了一个cabinet文件:

它包含要删除的其他模块:

应用程序“install.exe”以“setup.bat”作为参数进行部署。

Stage 3 - 从cabinet中解压缩组件
应用程序install.exe是基本的。它的唯一作用就是在提升模式( elevated mode)下运行下一个进程。在下面,你可以看到它的main function:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载