一,简述 13月13日,火白天鹅安全性精英团队发觉驱动器“性命”的手机软件含有后门病毒DTStealer,前者仅在一上午内感柒了数十万台电子计算机。病毒感染进入计算机后,它再次根据“永桓蓝”(非常是政府部门和公司企业的内网)的高危系统漏洞散播全部互联网,并回到受感柒电子计算机的ip地址和CPU实体模型。 现阶段阻拦的病毒感染不带上别的进攻控制模块,仅仅'涌现之时'。病毒感染网络服务器仅在不上12钟头内关掉,但它早已感柒了数十万台电子计算机。
依据火白天鹅安全性精英团队的剖析,“Drive Life”,“Life Calendar”,“USB Box”等手机软件的客户将感柒病毒感染。该病毒感染将一起实行二项每日任务:
1。根据“永桓蓝”系统漏洞散播大地区。因为政府部门和公司等内网客户应用的系统软件相对性较旧,存有很多未修补的系统漏洞,因而威协挺大; 2.免费下载别的病毒感染控制模块,并回到受感柒电子计算机的ip地址和CPU型号规格。 据“热白天鹅智能控制系统”检测,该病毒感染于13日中午13点上下刚开始扩散,随后慢慢加速传播,受感柒电子计算机总数快速升高,病毒感染网络服务器在夜里关掉终止散播荷兰绒技术工程师推断病毒感染犯罪团伙将会已经开展散播检测,并不是清除紧接着的规模性散播。 Velvet'Enterprise Edition'和'Personal Edition'能够不在升級的状况下捕获并杀掉病毒感染。荷兰绒精英团队提议受该类病毒感染威协的政府部门,公司,大学,医院门诊和别的内网客户安裝并应用“Flame商业版”(可免费试用3六个月),这能够合理地避免全部高危的风险性,如“永桓的深蓝色”。由系统漏洞散播的各种各样病毒感染。 二,试品剖析 荷兰绒由威协情报系统根据荷兰绒终端设备检验到。自13月13日下午至今,病毒感染根据促进衣食住行的升級消息推送作用很多散播。驱动安装升級升級程序流程将根据URL连接(hxxp: //pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本免费下载到当地实行。驱动器性命升級程序下载病毒样本实际操作,给出图示:
免费下载病毒样本 将病毒下载到当地电子计算机后,它会将本身释放出来到System32(或SysWOW64)文件目录(C: \ Windows \ SysWOW64 \ svhost.exe),将可执行文件申请注册为系统服务并继续执行恶意代码,申请注册服务项目取名为Ddriver。
病毒感染运作流程表如图所示:
病毒感染运作流程表 服务项目运作后,它将最先在System32(或SysWOW64)中释放出来svhhost.exe以供实行。该程序流程临时称之为代理商病毒感染;随后建立svvhost.exe,用以根据Eternal Blue Vulnerability传送svhost.exe。在互联网中散播,下边分两一部分剖析二种不一样的病毒感染控制模块。 永桓的深蓝色系统漏洞 运作svvhost.exe后,它将扫描仪当今互联网并应用Eternal Blue系统漏洞开展进攻。进攻取得成功后,恶意代码会将病毒感染从C& C网络服务器免费下载到受进攻的终端设备,便于根据CertUtil实行。系统漏洞进攻和荷兰绒网络黑客阻拦截屏,给出图示:
系统漏洞和荷兰绒网络黑客阻拦截屏 CertUtil由恶意代码实行以免费下载命令行参数,给出图示:
CertUtil免费下载有关的命令行参数 根据恶意代码免费下载到受进攻终端设备的病毒感染文档与svhost同样。免费下载后,文档相对路径为c: \ install.exe,C& C服务器地址为:hxxp: //dl.haqo.net。 Svhost.exe和代理商系统进程 父系统进程svhost.exe最先搜集当地信息内容,随后根据HTTP恳求将当地搜集的统计数据回到到C& C服务器地址(hxxp: //i.haqo.net/i.png)。回到的统计数据信息内容给出图示: 搜集系统软件信息内容 恳求连接实例,给出图示:
恳求连接实例 获得当地信息内容统计数据,给出图示:
获得系统软件信息内容 获得防护软件运作情况
拼凑恳求主要参数 以后,svhost.exe将从C& C网络服务器获得数据加密的恶意代码下载地址。免费下载的恶意代码能够根据二种方法实行:在代理商系统进程运行内存中载入实行并立即免费下载到当地(svvhost.exe)运作。现阶段,免费下载和实行的恶意代码仅由svvhost.exe用以永久性深蓝色散播(C& C服务器地址:hxxp: //dl.haqo.net/eb.exez),及其与之有关的作用连接运行内存载入实行临时无效。公布后,人们最开始推断该病毒感染处于产品测试。有关编码,如图所示:
破译操纵指令 依据操纵指令实行远程控制恶意代码 根据FileMapping上传恶意代码 代理商系统进程获得恶意代码统计数据后,实行给出图示: 代理商系统进程实行恶意代码 依据荷兰绒终端设备威协情报系统,人们发觉用以公布病毒感染文档的升級程序流程相对路径偏向驱动安装的手机应用程序。有关升級程序流程相对路径信息内容,如图所示: 有关升級程序流程相对路径信息内容 根据同源码较为,人们发觉消息推送病毒感染实行的升級控制模块与生活日历