黑客散播FakeFolder病毒真假文件夹捣乱企业内网?

1. 背景概述近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U…

1. 背景简述 最近,有自信心的安全团队接到了客户的反馈。 Intranet中有大量异常的exe文件造成文件夹名称被拷贝。

  经过深层次说动安全团队分析,这是一个蠕虫FakeFolder,病毒感染会通过移动u盘和共享文件夹传播,如果服务器感染了病毒感染,文件系统文件夹名称就会被掩藏,昭然若揭的是一个掩藏的病毒感染文件,当时用户运作病毒感染文件时,会弹出来相应的文件夹名称对话框,因此不易被检测到;只要系统中存在FakeFolder病毒感染文件,服务器就会被不断感染。

  令人信服的安全团队获取了蠕虫文件并详细描述了该技术。   2. 病毒感染原理 [1] 病毒感染首先建立子系统进程并将恶意代码引入核心操作以避免被杀掉。

  [2] 子系统进程将释放出来ghi.bat脚本制作的服务器和信息网络非空子集。 [3] 完成上述操作后,病毒感染开始感染该文件夹名称并配置autorun.inf以实现重复感染。

  [4] 最后,病毒感染还会建立两个定时器,定期监控注册表是否存在耐受性进攻,并定期浏览Windows网络服务器以实现掩藏。

  3. 病毒感染现象 受感染的服务器,系统中的所有文件夹名称都变成329KB可执行文件:

  文件夹图标的病毒感染wmimgmt.exe系统进程:

  4. 病毒感染受精卵分析 该病毒感染是用MFC撰写的。首先,它将实行一些复位操作,包括:获得system32相对路径,动态获得系统功能详细地址,以及获得安装系统的软信息。如果未安装Kaspersky,则实行后续故意行为: 4.png    如果未检测到kill系统进程,则病毒代码将进入0x402DD0起动系统进程引入操作。   3.1引入(0x402F70 - >0x402DD0) 再此连接中,病毒感染载入资源部分中的恶意代码(pE文件),随后建立处于挂起状态的子系统进程,启用WriteProcessMemory将故意pE引入子系统进程并修复系统进程: 5.png    5. 引入恶意代码分析(0x40B070) 我们抛下了引入的恶意代码,发现恶意代码首先判断程序的当前相对路径是C: \ ProgramData \ Application Data还是C: \ Documents little Settings \ All Users。如果没有,请将其拷贝到取名wmimgmt.exe并在相应的文件目录中运作它。重复上述操作后,跳至0x40BE00实行核心故意操作:

  5.2搜集信息连接(0x40B070 - >0x40BE00) 恶意代码建立3个进程并实行建立互斥锁,遍历硬盘和释放出来病毒感染脚本制作的操作: 7.png    该脚本制作名叫ghi.bat,主要操作是获得系统,网络和系统进程信息: 8.png    实行此操作后,DialogBoxParamA将用以建立用以监控故意涵数的模式提示框。   5.3定时执行操作(0x40B070 - >0x40BE00 - >0x40BF70) 启用SetTimer设置2个定时器,分别为10秒和30秒,并开启以下3个行为: [1] HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ SuperHidden \ UncheckedValue设置为0,不显示隐藏文件和文件夹名称。

[2]从HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ wmi32加上起动:
  [3]查询域名“windowsupdate.microsoft.Com”详细地址:
  5.3受感染的硬盘连接(0x40B070 - >0x40BE00 - >0x40BF70 - >0x40 * 60) 当复位或硬件设备变更时,回调函数方法实行DialogFunc以实行感染过程,受感染的对象是USB硬盘和网络磁盘:
  经过一连串的判断,它总算来到了感染的核心,病毒感染会建立C: \ RECUCLER \ _wmimgmt.exe和AuToRUn.iNf来实现不断感染。 Wmimgmt.Com是病毒感染的复制。
  AuToRUn.iNf的编码如下,该涵数是当用户打开文件夹名称时自动实行C: \ RECYCLER \ _wmimgmt.exe重复感染:
  wmimgmt.exe病毒感染文件具有在正常情况下不会显示的独特属性:
  最后,这是实行我们在开始时见到的伪造文件夹名称操作,病毒感染首先掩藏初始文件夹名称,随后将病毒感染本身复制到名叫“文件夹名称+ .exe”的文件夹名称中:
  运作受感染的病毒程序将打开病毒感染掩藏的文件夹名称,以避免受害人发现:
  受感染的文件夹名称如下如图: 解 病毒检测和杀毒 1,深信为广大用户提供免費杀毒工具,可以下载以下工具进行检测和杀毒。 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR产品,下一代防火墙和安全认知平台以及其他网络安全产品都配置了病毒检测功能。布署相关产品的用户可以实行病毒检测