1. 背景简述 最近,有自信心的安全团队接到了客户的反馈。 Intranet中有大量异常的exe文件造成文件夹名称被拷贝。
经过深层次说动安全团队分析,这是一个蠕虫FakeFolder,病毒感染会通过移动u盘和共享文件夹传播,如果服务器感染了病毒感染,文件系统文件夹名称就会被掩藏,昭然若揭的是一个掩藏的病毒感染文件,当时用户运作病毒感染文件时,会弹出来相应的文件夹名称对话框,因此不易被检测到;只要系统中存在FakeFolder病毒感染文件,服务器就会被不断感染。
令人信服的安全团队获取了蠕虫文件并详细描述了该技术。 2. 病毒感染原理 [1] 病毒感染首先建立子系统进程并将恶意代码引入核心操作以避免被杀掉。
[2] 子系统进程将释放出来ghi.bat脚本制作的服务器和信息网络非空子集。 [3] 完成上述操作后,病毒感染开始感染该文件夹名称并配置autorun.inf以实现重复感染。
[4] 最后,病毒感染还会建立两个定时器,定期监控注册表是否存在耐受性进攻,并定期浏览Windows网络服务器以实现掩藏。
3. 病毒感染现象 受感染的服务器,系统中的所有文件夹名称都变成329KB可执行文件:
文件夹图标的病毒感染wmimgmt.exe系统进程:
4. 病毒感染受精卵分析 该病毒感染是用MFC撰写的。首先,它将实行一些复位操作,包括:获得system32相对路径,动态获得系统功能详细地址,以及获得安装系统的软信息。如果未安装Kaspersky,则实行后续故意行为: 4.png 如果未检测到kill系统进程,则病毒代码将进入0x402DD0起动系统进程引入操作。 3.1引入(0x402F70 - >0x402DD0) 再此连接中,病毒感染载入资源部分中的恶意代码(pE文件),随后建立处于挂起状态的子系统进程,启用WriteProcessMemory将故意pE引入子系统进程并修复系统进程: 5.png 5. 引入恶意代码分析(0x40B070) 我们抛下了引入的恶意代码,发现恶意代码首先判断程序的当前相对路径是C: \ ProgramData \ Application Data还是C: \ Documents little Settings \ All Users。如果没有,请将其拷贝到取名wmimgmt.exe并在相应的文件目录中运作它。重复上述操作后,跳至0x40BE00实行核心故意操作:
5.2搜集信息连接(0x40B070 - >0x40BE00) 恶意代码建立3个进程并实行建立互斥锁,遍历硬盘和释放出来病毒感染脚本制作的操作: 7.png 该脚本制作名叫ghi.bat,主要操作是获得系统,网络和系统进程信息: 8.png 实行此操作后,DialogBoxParamA将用以建立用以监控故意涵数的模式提示框。 5.3定时执行操作(0x40B070 - >0x40BE00 - >0x40BF70) 启用SetTimer设置2个定时器,分别为10秒和30秒,并开启以下3个行为: [1] HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ SuperHidden \ UncheckedValue设置为0,不显示隐藏文件和文件夹名称。