欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

自解压、免杀、P2P传播,全能挖矿病毒GroksterMiner来袭

来源:本站整理 作者:佚名 时间:2019-08-13 TAG: 我要投稿

0x0 事件背景
近日,深信服安全产品监控到一个“ Lucio Dalla Discografia Completa ”的恶意文件,该恶意文件伪装成一个著名的意大利歌手唱片集合,诱惑歌迷运行,释放门罗币挖矿程序,并通过P2P网络传播,造成极大威胁。该挖矿蠕虫的持续化攻击手段比较单一,仅使用了自启动文件夹的方法,但为了降低被检测率,该蠕虫的作者使用了一些有趣的技术:
1、使用自解压程序隐藏恶意PE文件的内容;
2、使用文件加壳加文件拆分技术,将恶意文件加壳后拆分为多个部分,在使用时再将其组合起来;
3、通过P2P传播病毒文件的时候,将病毒文件DOS头中”program”替换为随机的7位字符,使文件在每次运行时出现不同的HASH值。

0x1行为分析
母体程序是一个SFX格式(自解压)的文件,用7-Zip或者WinRAR打开后可以看见这个母体程序包含13个.tmp文件、1个.vbs脚本、1个.bat批处理脚本,1个setup文件。在图一的右侧可以看到,当该自解压程序被双击运行时会执行run.vbs脚本,并且该程序在释放文件时会覆盖当前目录下的任何同名文件而无需用户确认。

run.vbs脚本比较简单,只是设置在自己退出后,以后台启动的方式运行installer.bat批处理脚本。

Installer.bat 是将007.tmp文件备份并且改名为007.bat,然后启动007.bat批处理文件。

007.bat该文件是由007.tmp文件改名后获得,这个批处理文件进行了很多行为,首先它获得当前文件的路径,将该文件夹中刚刚释放的文件拷贝一份到”#”文件夹下,并且将当前文件夹中的002.tmp,003.tmp,004.tmp,005.tmp,006.tmp分别重命名为7z.exe,7z.dll,Default.SFX,Rar.exe,sfx.conf。

通过008.tmp,009.tmp,010.tmp三个文件组合生成001.tmp;
通过011.tmp,012.tmp,013.tmp组合生成32.tmp,
通过014.tmp,015.tmp,016.tmp组合生成64.tmp,
在后面001.tmp,32.tmp,64.tmp这三个文件会被重命名为.exe。



使用二级制编辑器打开008.tmp,012.tmp,015.tmp文件,发现这三个文件内容相同,都是PE头的前半部分。

009.tmp,012.tmp,015.tmp实际上生成一个7位的字符串,替换原始PE文件中的”This program cannot be run in DOS mode”中的 “program”。

010.tmp,013.tmp,015.tmp是PE文件的后半部分。

这步操作实际上是将PE文件拆分开存储,然后在使用时将它们拼接起来,每次生成时都将其DOS头中的”program”替换为随机的7位字符串,致使每次生成的新文件的HASH值都不同。增加了查杀难度。
之后脚本采用刚刚新建的Rar.exe和7z.exe在属于P2P平台的其他目录中创建新的自解压文件,使用这个手段在文件共享社区中传播攻击,这些操作针对每个系统驱动号执行的,从A盘到Z盘都执行一遍。

然后根据不同的系统版本号执行不同的例程(从5.x到15.x)。

这些例程执行的操作如下:
1、创建一个”%systemdrive%\AppCache\x86”目录并且立即隐藏;
2、将当前文件夹下的001.tmp复制到自启动文件夹下并重命名为”svchost.exe”;
3、将32\64.tmp复制到”"%systemdrive%\AppCache\x86\”文件夹下并且重命名为svchost.exe并且将其隐藏;
4、启动复制后的001.tmp文件。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载