欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

AVCrypt:一款尝试卸载反病毒软件的勒索病毒

来源:本站整理 作者:佚名 时间:2018-04-11 TAG: 我要投稿

近期国外发现一款名为AVCrypt的勒索软件,该勒索软件在执行文件加密操作前会尝试卸载已安装的反病毒软件,并且尝试移除大量与系统安全相关的服务,从而弱化系统的防御力。
该勒索软件利用了反病毒软件会在Windows安全中心注册的特性,从而使用WMI(Window Management Instrumentation)工具查询并尝试卸载防病毒软件,之后通过洋葱路由向暗网域名发送感染主机相关信息和加密密钥,然后加密磁盘文件,而后修改桌面图片引导用户进行付费解密操作,最终实现勒索行为。江民安全实验室通过分析发现,该勒索软件还处于开发完善阶段,因其内部的大量调试信息还未移除,且其部分功能还并没有完善,故此次应该属于小范围病毒的分发测试。江民安全实验室建议广大用户安装杀毒软件预防此类勒索软件的攻击,江民反病毒产品能有效实时检测并抵抗此类病毒的行为,帮助用户远离此类威胁。
样本详细分析报告:
调整当前进程权限令牌至SeShutdownPrivilege权限等级,弹窗显示“cont………”(猜测用于测试版本使用),创建名“.$”的互斥体防止病毒程序重复启动。

图1 创建互斥体防止病毒重复启动
获取当前系统版本,判断当前系统是否是Vista之后的系统版本,如果是则直接执行下一步感染策略,如果是Vista版本以前的系统则尝试获取进程令牌信息,如能正确获取到令牌信息则执行下一步感染否则便使用ShellExecuteExW函数以管理员权限重新启动病毒文件。

图2 获取系统版本执行后续流程
使用IsDebuggerPresent函数做了一个简单的反调试,如果有调试器对病毒程序进行调试则退出程序,不执行任何操作。尝试打开注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe,该注册表作为第一阶段感染成功标志,打开失败则开始第一阶段感染部署,打开该注册表成功则意味着感染部署过程已经执行过了,那么病毒程序就在%temp%目录下生成名为“++.bat”文件执行结束进程并进行自删除操作。

图3.1 判断系统是否已被成功感染

图3.2 生成++.bat文件实现自删除
由于该勒索软件目前还处于开发测试阶段,内含大量调试信息未清除,因此可以十分清楚其感染部署过程,整个感染过程以如下流程进行。

图4 病毒感染部署的主要流程
病毒首先使用WMI(Window Management Instrumentation)组件的接口获取IWbemClassObject对象,然后利用该对象的ConnectServer方法连接组件内命名空间“Root\\SecurityCenter2”,尝试调用该对象的DeleteInstance方法关闭Microsoft Security Essentials、Malwarebytes、MicrosoftSecurity Essentials、Windows Defender四个与反病毒相关的系统进程实例。

图5.1 连接Windows安全中心

图5.2 删除Windows自带的反病毒程序实例
在关闭Windows Defender等四个系统自带的反病毒程序后,病毒在配置注册表后启动了Windows管理服务程序WinMgmt.exe用于支持后续恶意行为,之后再次连接Windows安全中心查找在系统注册的反病毒软件并试图移出反病毒程序以便于执行后续的加密勒索操作,其中查找反病毒软件的方法可以用CMD命令模拟,CMD命令如下:

图6.1 通过CMD命令查询反病毒程序

图6.2 查询已经安全的反病毒程序

图6.3 尝试卸载反病毒程序
设置注册表项使病毒能够开机自启动,之后设置病毒文件为系统隐藏属性,并更改注册表项完全关闭系统显示隐藏文件的功能,使得病毒文件在完成恶意操作时不容易被发现。

图7.1 设置病毒启动项

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载