欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

伪造微软等企业签名,恶性病毒窃取比特币疯狂挖矿

来源:本站整理 作者:佚名 时间:2018-05-14 TAG: 我要投稿

一、 概述
5月8日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产“门罗币”),并且还会通过远程操控伺机对用户进行勒索。
另外,病毒团伙非常狡猾,不仅使用了隐蔽性很强的“无文件加载”技术,令普通用户难以察觉,而且还伪造了亚马逊、微软以及火绒的数字签名,成功躲过了国内绝大多数安全软件的查杀。目前“火绒安全软件”最新版可对该后门病毒进行拦截和查杀。
 

火绒查杀截图 
二、 详细分析
近期,火绒截获到病毒样本,该病毒会通过访问C&C服务器下载执行多种病毒模块,病毒模块功能包括:挖矿、勒索、信息窃取。该病毒运行之后首先会执行3个远程脚本,分别下载勒索病毒,挖矿病毒,并且还可能会下载间谍病毒。勒索病毒会常驻后台,等待勒索时机。挖矿病毒会首先由evil.js直接下载下来,然后伪装成为explorer.exe加参数运行。ps5.sct实现核心功能,负责后续的主机信息收集,服务端指令的执行,从目前服务器返回的数据来看,只是用于挖矿命令的下发。
病毒恶意行为流程图,如下图所示:
 

病毒恶意行为流程图
进程树粗略概览,如下图所示:
 

进程树截图
该病毒执行后,会执行远程恶意VBScript脚本和SCT脚本。相关代码,如下图所示:
 

病毒代码
该病毒执行远程脚本相关数据,如下图所示:
 

相关数据
被执行的远程脚本及其主要功能,如下图所示:
 

脚本名称及其主要功能
下文针对病毒所下载执行的多个脚本文件进行详细分析。
ps5.sct:
ps5.sct是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,利用powershell结合dotnet的静态方法来创建子线程执行shellcode,该shellcode会向ssl2.blockbitcoin.com请求数据,下载一个pe结构异常的恶意dll,该dll会从远程服务器获取命令然后执行,在我们分析的时候,服务器派发命令是挖矿命令。
解密后的ps5.sct相关代码,如下图所示:
 

解密后的脚本代码
以上shellcode下载的恶意dll的GetCommand_and_run函数实现联网获取服务器指令。相关代码逻辑,如下图所示:
 

病毒代码
通过动态调试发现恶意dll偏移0x305252E处调用网络操作相关API,连接网站ssl2.blockbitcoin.com。压栈的内容,如下图所示:
 

动态调试截图
向该网站请求数据,压栈的内容,如下图所示:
 

动态调试截图
通过InternetReadFile  API函数,从网站读取命令数据,如下图所示:
 

病毒代码
网站返回了命令数据,如下图所示:
 

动态调试获取网页返回数据
调用sub_3063D37的函数,循环执行每条网站返回的命令数据,如下图所示:
 

病毒代码
reg99.sct:
reg99.sct也是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,会根据系统的架构决定执行var_func(32bit) 还是 va_func2(64bit),这两个函数会释放出不同版本的evil.js,从而下载对应的挖矿病毒,相关代码逻辑,如下图所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载