真假文件夹?FakeFolder病毒再次扰乱企业内网 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

真假文件夹?FakeFolder病毒再次扰乱企业内网

申博_新闻事件 申博 217次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

1. 配景概述

近期,深佩服平安团队接到客户反应,内网中涌现了大批捏造成文件夹的可疑exe文件,删掉今后仍会反复。经深佩服平安团队剖析发明,这是一个蠕虫病毒FakeFolder,该病毒会经由过程U盘及同享文件夹举行流传,一旦主机沾染了该病毒,文件体系中的文件夹都会被隐蔽,取而代之的是一个假装的病毒文件,当用户运转病毒文件时,也会弹出对应文件夹的窗口,因而不容易被发觉;只需体系中还残留着一个FakeFolder病毒文件,就会对主机举行反复沾染。

深佩服平安团队提取了该蠕虫病毒文件,并对其举行了细致的手艺。

2. 病毒道理

[1] 病毒首先会建立一个子历程并注入歹意代码举行中心操纵,从而避开杀软的查杀。

[2] 子历程会开释要给ghi.bat剧本举行主机、网络信息的网络。

[3] 举行完以上操纵后,病毒最先沾染文件夹,并配和autorun.inf完成反复沾染。

[4] 末了,病毒另有建立两个准时器,准时监控注册表完成耐久化进击,和准时接见windows服务器完成假装。

真假文件夹?FakeFolder病毒再次扰乱企业内网

3. 病毒征象

被沾染主机,体系中的文件夹悉数变成了328KB的可实行文件:

真假文件夹?FakeFolder病毒再次扰乱企业内网

病毒为一个文件夹图标的wmimgmt.exe历程:

真假文件夹?FakeFolder病毒再次扰乱企业内网

4. 病毒母体剖析

病毒运用MFC编写,首先会举行一些初始化操纵,包孕:猎取system32途径、动态猎取体系函数地点、猎取体系装置的杀软信息,若是没有装置卡巴斯基则实行后续歹意行动:

真假文件夹?FakeFolder病毒再次扰乱企业内网

若未检测到杀软历程,则病毒代码将进入到0x402DD0最先历程注入的操纵。

4.1 注入环节(0x402F70 -> 0x402DD0)

该环节,病毒会读取资本节中的歹意代码(一个PE文件),然后以挂起状况建立子历程,挪用WriteProcessMemory将歹意PE注入子历程并规复历程:

5. 注入歹意代码剖析(0x40B070)

我们将注入的歹意代码dump下来,剖析发明,该段歹意代码首先会推断顺序以后途径是不是为C:\ProgramData\Application Data或C:\Documents and Settings\All Users,若是不是,则将其拷贝到响应目录下命名为wmimgmt.exe并运转。反复上述操纵后,跳到0x40BE00实行中心歹意操纵:

真假文件夹?FakeFolder病毒再次扰乱企业内网

对APT34泄漏对象的剖析——PoisonFrog和Glimpse

0x00 前言 最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。 0x01 简介 本文将要介绍以下内容: · 对PoisonFrog的分析 · 对Glimpse的分析 · 小结 0x02 对PoisonFrog的分析 对应泄露文件的名称为posi

5.1 网络信息环节(0x40B070 -> 0x40BE00)

歹意代码会建立3个线程,离别实行建立互斥量、遍历磁盘、开释病毒剧本的操纵:

真假文件夹?FakeFolder病毒再次扰乱企业内网

剧本名为ghi.bat,重要操纵为猎取体系、网络和历程信息:

真假文件夹?FakeFolder病毒再次扰乱企业内网

做完以上操纵后,会运用DialogBoxParamA建立一个模态对话框,用于监控实行歹意功用。

5.2 准时操纵环节(0x40B070 -> 0x40BE00 -> 0x40BF70)

挪用SetTimer设置2个准时器,离别为10秒和30秒,准时触发背面3个行动:

[1]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue置为0,不显现隐蔽文件及文件夹。

真假文件夹?FakeFolder病毒再次扰乱企业内网

[2] 增加开机自启动项HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wmi32:

真假文件夹?FakeFolder病毒再次扰乱企业内网

[3]查询域名“windowsupdate.microsoft.com”地点:

真假文件夹?FakeFolder病毒再次扰乱企业内网

5.3 沾染磁盘环节(0x40B070 -> 0x40BE00 -> 0x40BF70 -> 0x40C460)

当初始化或许硬件装备发作转变时,回调的体式格局实行DialogFunc实行沾染流程,沾染工具为USB磁盘和网络磁盘:

真假文件夹?FakeFolder病毒再次扰乱企业内网

经由一系列的推断,终究来到了沾染的中心环节,病毒会建立 C:\RECUCLER\wmimgmt.exe和AuToRUn.iNf完成反复沾染。wmimgmt.com为病毒的克隆体。AuToRUn.iNf的代码以下,功用为当用户翻开文件夹时,自动实行C:\RECYCLER\wmimgmt.exe反复沾染:

真假文件夹?FakeFolder病毒再次扰乱企业内网

wmimgmt.exe病毒文件有特别属性,在一般情况下不会显现出来:

真假文件夹?FakeFolder病毒再次扰乱企业内网

末了,就是实行我们开首见到的改动文件夹操纵,病毒先将原文件夹隐蔽,然后将病毒本身克隆成文件夹的模样,命名为“文件夹名+.exe”:

真假文件夹?FakeFolder病毒再次扰乱企业内网

运转沾染的病毒顺序,会翻开病毒所假装的文件夹,从而制止被受害者发明异常:

真假文件夹?FakeFolder病毒再次扰乱企业内网

沾染后的文件夹以下图所示:

真假文件夹?FakeFolder病毒再次扰乱企业内网

对APT34泄漏对象的剖析——PoisonFrog和Glimpse

0x00 前言 最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。 0x01 简介 本文将要介绍以下内容: · 对PoisonFrog的分析 · 对Glimpse的分析 · 小结 0x02 对PoisonFrog的分析 对应泄露文件的名称为posi


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明真假文件夹?FakeFolder病毒再次扰乱企业内网
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址