后门病毒携带蠕虫 使用多种免杀手段
近期,火绒威胁情报系统监测到一款后门病毒正在快速传播,被激活后会释放多个恶意文件并执行,使黑客可以进行信息收集,远程控制等恶意操作。值得注意的是,该病毒不但使用多种免杀手段躲避查杀,其释放的子文件中还具有 Synares 蠕虫感染特征,可在受害者电脑的文件中进行传播。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
火绒查杀图
用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。除此之外,该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑,致使释放的子文件中存在着蠕虫的特征,增加了破坏性。执行流程如下图所示:
执行流程图
在免杀层面上,该病毒文件使用了包括:多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆等多种技术来进行对抗。在此,火绒工程师提醒大家警惕陌生文件,先查杀再使用。
一、样本分析:
malware.exe:
在分析对抗层面上,病毒对运行逻辑进行了混淆处理,并利用了包括:函数指针动态获取、函数包装调用等手段来干扰静态分析:
函数指针动态获取
函数包装调用
在关键执行层面上,病毒文件先后释放 look2.exe 和 "HD_malware.exe" 文件并执行。其中 look2.exe 存放于用户的 TEMP 目录中,而 "HD_malware.exe" 则释放到桌面下,并赋予 "隐藏属性和系统保护属性" 隐藏自身。
执行流程图
文件示意图
Look2.exe:
look2.exe 是一个支持持久化和配置更新的木马程序。该病毒在执行前会解密出互斥体名称: “kinh.xmcxmr.com:442:svchcst” ,通过该互斥体的成功创建与否来判断父进程 malware.exe 是否正在执行,以此决定后续操作。
父子进程交互
后续操作中,look2.exe 会尝试获取系统目录,然后释放一个以时间戳命名的 bat 文件,该文件实则为用于加载的 DLL 文件。根据父进程写入的执行标志位来决定是直接执行 DLL 内 MainThread 导出函数还是 Install 导出函数(这两个导出函数在后面解析),执行完后还尝试删除文件,但实际上由于文件被加载占用,所以无法被移除。
look2.exe 执行流程
另一种情况是 look2.exe 被用于执行配置更新操作,当命令行中包含 GUpdate 和要更新的注册表项时,程序会定位到指定的位置进行配置更新:
配置更新操作
释放的 DLL 文件实际上是 Gh0st 后门病毒的变种,该 dll 中包括 5 个导出函数,但都围绕着 MainThread 展开。导出函数名代表了真实意图,包括配置更新(DllUpdate)、创建服务(Install)、卸载服务(Uninstall)、服务启动函数(ServiceMain)。
导出函数列表
导出函数逻辑代码
MainThread 包含核心恶意功能,包括:终端数据收集,接收和执行控制命令、派发执行任意病毒模块等。火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中披露的后门病毒在执行流程和代码逻辑上,经对比与该函数没有太大改动,故不再重复分析。
注册表修改对比
信息收集对比图
HD_malware.exe:
“HD__malware.exe” 是一个被 Synares 蠕虫病毒感染过的文件,当它执行时,会释放感染前的 ".cache_malware.exe" 源程序,并且执行蠕虫自身的感染操作,包括:更新自身配置、篡改注册表自启动项,感染指定位置 EXE 和 EXCEL 文件、远控,窃密等。执行流程如下所示:
执行流程图
Synares 蠕虫病毒是一个相对较老的病毒,虽然变种极多,但本次观察到的行为与以前版本并无太大变化,包括感染的三个指定位置为:%USERPROFILE%\Desktop、%USERPROFILE%\Documents、%USERPROFILE%\Downloads。包括键盘记录和 usb、目录文件信息记录,并通过邮件回传。包括基础远控功能:CMD 命令执行、屏幕截图、打印目录、下载文件、删除文件等,故不再重复分析。
代码逻辑图
._cache_HD_malware.exe
释放出来的 ._cache_HD_malware.exe 是被感染前的原始程序,其套用 vmp 壳来试图隐藏自身逻辑:
套用 VMP 壳
在其内部嵌入了未加密的 EXE 文件,用于释放执行,并包含核心操作:
内嵌 EXE 文件
HD_.cache_HD_malware.exe
内嵌的 EXE 文件在释放时会再次以 “HD_” 做前缀,其同样被设置系统保护和隐藏属性,并且套用 SE 壳试图隐藏逻辑:
套用 SE 壳
当前文件示意图
该病毒文件执行时,会从 C2 服务器上下载 exploror.exe 写入到创建的 C:\windowss64 目录下 computer.exe 文件中并启动执行。
下载文件并执行
Computer.exe
Computer.exe 是一个引导程序,用于引导内嵌的 DLL 加载执行。内嵌 DLL 是加密存储的,Computer.exe 在执行时会构造并利用异常来进行反调试,并且解密操作也在异常处理中定义。
解密 DLL 和异常反调试
在解密内嵌 DLL 后,会调用指定导出函数 fuckyou,剩下所有操作均由 DLL 内代码完成。
指定导出函数
该导出函数主体逻辑同样与火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中提到的后门病毒,经对比并没有太大改动(DDOS 模块已移除),故不再重复分析。
代码对比
二:附录
HASH
文件被隐藏了怎么恢复?读完你就知道了
信息化时代在人们生活中越来越重要的就是数据文件了,但是人们在日常生活中也会遇到许多难题,比如文件被隐藏了怎么恢复,这个时候我们就需要在电脑里操作,或者用专业的数据恢复软件来进行数据恢复。
利用Windows设置恢复隐藏文件
搜索资源管理器,单击【查看】、【选项】、【更改文件夹和搜索选项】、【查看】,找到【显示隐藏的文件、文件夹和驱动器】并勾选。重新查看文件,就可以看到包括系统文件在内的文件都被显示出来了。找到文件之后,还需要将设置更改回去,保证电脑的正常运行。
专业的数据恢复软件恢复被隐藏的文件
如果以上操作无法恢复文件,那么文件多半是被病毒感染了,您需要先挑选一款常见的杀毒软件进行病毒的查杀,再使用专业的数据恢复软件对丢失或者隐藏的文件和数据进行恢复。数据蛙数据恢复专家软件就是您的选择,数据蛙数据恢复专家是一款享誉多年的数据恢复软件,专注于数据恢复,能够恢复包括隐藏文件在内的多种文件数据,例如回收站清空、U盘格式化、SD卡格式化等情况下发生的数据丢失。支持多种设备和文件类型,windows和Mac两种系统适用,文档、视频、音频、图片等文件格式都可以恢复。在数据恢复过程中,数据蛙数据恢复专家会确保您的数据安全,保证文件不泄露,引导式的页面带领您进行流畅的数据恢复。接下来就让小编为您演示具体的操作步骤。
步骤一 :搜索数据蛙数据恢复专家软件 ,进入官网(https://www.shujuwa.net/shujuhuifu/),找到对应的版本,进行下载和安装。运行软件后选择文件所在位置和类型,全选文件类型,可以让您的设备得到更加深度的扫描。软件具有快速扫描和深度扫描两种模式,完成文件类型和位置的选择后,单击右下角的扫描就可以进入快速扫描模式了。
步骤二 :在扫描过程中,你可以根据文件类型和路径查看文件、将鼠标悬浮在文件名称上可以查看文件的路径、在筛选器的右侧也能查看文件信息,进行文件的筛选。完成快速扫描后,在上方会有深度扫描的提示,并对文件进行预览,帮助你对文件进行预判。
步骤三 :勾选目标文件,完成对文件的检选和预览,就可以进行恢复了。在存储文件时要注意,不要将文件存储在丢失的位置,会导致文件的丢失。
文件被隐藏了怎么恢复?大家都遭遇过这种情况,发生这种情况,多半是因为文件被病毒感染了。我们可以通过Windows操作,在电脑上显示隐藏的文件,如果这种方式行不通,那么我们需要下载杀毒软件进行病毒的查杀,并且安装专业的数据恢复软件进行文件的恢复。
相关问答
对部分 文件 进行 病毒 查杀方法?如果计算机中出现了“文件夹.exe”,则可以尝试使用杀毒软件直接进行病毒查杀,从而彻底清除该病毒。“文件夹.exe”,是一种感染Windows的病毒,通过USB进...如...
很重要的 文件 中毒了怎么处理-ZOL问答使用EASYRECOVERYPRO恢复一下文件,有可能会恢复到中毒前的文件。使用腾讯电脑管家,卡巴斯基等杀毒软件进行查杀。如果是office文件,那么可以使用宏病毒专杀工...
电脑每次插U盘都有 病毒 查杀提示.而且U盘中还出现exe的 文件夹 ...你好,你这U盘中反复出现带有EXE虚假文件夹的病毒,其实是因为你的计算机系统已经因为你曾经点击过U盘中的虚假文件夹而导致中毒,于是反复地感染U盘,让你感觉U盘中...
有会自动生成后缀为exe的同名 文件夹 的 病毒专杀 吗?文件夹exe病毒也是一种常见病毒,全称为Worm.Win32.AutoRun.soq,而且这种病毒的变种很多,一般的杀毒软件都不会有所提示的。当你在电脑或U盘中看到文件都变成...
怎么杀电脑里的u盘快捷方式 文件夹病毒 _其他问答_系统粉你可去搜索下“文件夹图标类病毒专杀工具”,我以前就在学校的电脑用过U盘后带回家总会染上U盘病毒,之后就用那个工具杀毒的,我想你U盘中的那个病毒...
cad杀毒方法?手动查杀CAD病毒:1、关闭CAD(一定要先关闭正在运行的CAD程序)。2、搜索并删除acad.lsp、acadappp.lsp和acadapp.lsp这3个文件。3、复制下面的代...Cad...
excel宏 病毒 怎么清除?用Excel宏病毒专杀工具可以清除,也可以手动清除,我觉得手动的比较安全,我就是手动清除的手动清除Excel宏病毒的方法:1、进入C:\ProgramFiles\MicrosoftOf...
win7u盘 文件 被 病毒隐藏 了怎么办?如果你的win7u盘文件被病毒隐藏了,可以尝试以下方法:1.使用Windows自带的命令提示符工具来解除隐藏:打开命令提示符,进入U盘所在的目录,输入“attrib-s-h...
电脑界面上一直有一个“360safe” 文件 , 隐藏 不了,也删不掉,说...目前木马威胁之大已远超病毒,360安全卫士运用云安全技术,在拦截和查杀木马的效...用本地杀毒软件自带的文件粉碎器粉碎掉就行了,我用过了,效果非常好有用(0)回...
我的电脑中了 文件夹 exe 病毒 ,肿么杀呢?-ZOL问答不过现在有些auto.exe文件夹都无法用强制删除软件来删除,推荐使用一款操作非常...它可以清除1200多种顽固性病毒,当然auto.exe文件夹也不在话下。有用(0)回复...