欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

伪装成比特币钱包的Java恶意软件分析

来源:本站整理 作者:翻译: 興趣使然的小胃 时间:2017-02-11 TAG: 我要投稿

 一、概要

近期,研究人员发现了一款恶意软件,该软件采用钓鱼邮件方式进行传播,邮件主题是经过伪装的比特币钱包。当用户点击恶意链接后会下载Dropbox网盘上的一个名为"wallet.aes.json.jar"的jar文件,该文件实际上是一个远控工具(RAT,Remote Access Tool)并经过了多重混淆加密,本文对该恶意软件进行了细致分析。

二、样本摘要

Dropbox上的样本链接(当前已失效):

https://www.dropbox.com/s/sl8ton6reobdyb7/wallet.aes.json.zip?dl=1

涉及到的样本文件及virustotal链接信息:

851bc674d181910870fbba24763d5348  – 初始文件(wallet.aes.json.jar)

2eb123e43971eb2eaf437eaeffeeed8e  – 第二阶段主文件

24840e382da8d1709647ee18e33b63f9  – 第三阶段主文件

JAR包中附带的DLL文件:

0ad1fc3ddb524c21c9b31cbe3fd57780  – key\amd64.dll

0b7b52302c8c5df59d960dd97e3abdaf  – key\x86.dll

9e0b34a35296b264d4b0739da3b63387  – protector\amd64.dll

c17b03d5a1f0dc6581344fd3d67d7be1  – protector\x86.dll

行为分析中释放的文件:      

7f97f5f336944d427c03cc730c636b8f  – .reg

0b7b52302c8c5df59d960dd97e3abdaf  – DLL 

三、行为分析 

启动后该恶意软件在后台静默运行,使用Process Explorer可以发现该软件启动后会部署并运行某些脚本文件。

具体来说,该恶意软件运行后会将一些文件释放到%TEMP%目录中,这些文件包括vbs脚本、reg注册表文件以及一个DLL文件。

vbs脚本用来检测本机所安装的安全软件信息(防病毒软件、防火墙),运行完毕后脚本被迅速删除。捕获的脚本片段如下所示。

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
    With objItem
        WScript.Echo  "{""FIREWALL"":""" & .displayName & """}"
    End With
Next

恶意软件作为一个隐藏文件安装在本地硬盘的一个隐藏目录中,去掉Windows的隐藏文件及文件夹选项后,我们就可以找到名为Windows.Windows的软件真身。

恶意软件的本地持久化通过写入注册表键值来实现。

电脑感染该软件的第一个表现就是UAC窗口的弹出,原因是恶意软件试图运行reg文件。如果用户允许该动作,系统将弹出另一个窗口通知用户UAC已被禁用。

随后恶意软件与远端服务器建立连接,服务器地址是104.239.166.119(jamoos88.ddns.net)。

捕获的部分通信报文片段如下图所示。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载