一例简单的文件夹病毒的分析

news2024/12/24 21:15:31

概述

这是一个典型的文件夹病毒,使用xp时代的文件夹图标,通过可移动存储介质传播,会向http://fionades.com/ABIUS/setup.exe下载恶意载荷执行。

其病毒母体只是一个加载器,会在内存是解密加载一个反射型的dll,主要的功能是在这个dll中完成。

病毒母体(第一阶段)

病毒母体的样本信息如下。

Verified:    Unsigned
Link date:    8:00 1970/1/1

MachineType:    32-bit
MD5:    288228015E70D1F5C027D6AA773794D2
SHA1:    38B45F0AEA6BC4B06569D7605181EACE753F6113
SHA256:    F598D2CFD44F71F5E71F8B59C2C7B3B7B79A5F5F0917E7CB9AB4D6EE8C1D3E7E

该样本使用了xp时代的文件夹图标,会在内存是解密加载一个反射型的dll

在VirutalProtect处设置断点,将解密后的shellcode dump出来分析。这是一个dll,通过其导出表就可以知道这是一个反射型的dll,既是一段shellcode,又是一个合法的dll,反射型dll的原理可以参考我前面的博客。

反射型dll(第二阶段)

第二阶段的样本的基本信息如下,通过这个dll的编译时间可以看到病毒的产生时间大概是2011年。

Verified:    Unsigned
Link date:    19:27 2011/9/24
Publisher:    n/a
Company:    n/a
Description:    n/a
Product:    n/a
Prod version:    n/a
File version:    n/a
MachineType:    32-bit
MD5:    25C239B33A8B26EEDBE3297702DB9A15
SHA1:    E21005B39945EABABA5397829DC733AB41E9B587
SHA256:    B9925BA046C55DD748381CB3DC7FDE1DA1DBFBEC3B826BAD60015EB706CF6965

这个dll首先获取病毒母体传递的参数,最主要的两个参数,cmdline和hInstance

根据程序的参数来判断当前的执行环境,进而执行不同的分支。

从U盘启动的情况

若没有参数,可能是有人点击了伪装成目录的病毒母体,这是从U盘启动的情况。

这种情况下,一般是用户点击了伪装成文件夹的病毒母体,没有参数,运行后会感染当前系统,将病毒副本保存为C:\ProgramData\CacheMgr.exe,并在注册表中创建开机启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\StubPath
"C:\ProgramData\CacheMgr.exe" -as

系统开机自启动的情况

若参数为-as,为 开机启动的情况。

首先会创建一个互斥量2CBE016A-8F28-4E0C-83A6-6079161294D7,防双开。

进而通过创建一个名为CacheMgr的窗口来 监听U盘插入的消息,执行对U盘中文件夹的感染,感染过程也非常简单粗暴,将U盘根目录下的文件夹隐藏,将自己复制成[网名的目录名].exe,诱导用户点击。

有意思的是,这个病毒会在当前目录下创建一个名为csetup.tmp的文本文件来记录一些如感染时间等信息,通过这个文件的可以知道病毒感染系统和U盘的时间。

这个病毒会向C2地址下载后续的攻击载荷来执行。首先会尝试连接下面这些地址来测试网络的连通性,若能够连接下列IP之一的80端口,则会向http://fionades.com/ABIUS/setup.exe下载一个程序,将其保存在tmp目录,将它执行起来。

74.125.224.112
74.125.224.113
74.125.224.114
74.125.224.115
74.125.224.116
207.46.197.32
207.46.232.182
129.42.38.1
198.133.219.25

IOC

hash
288228015E70D1F5C027D6AA773794D2
25C239B33A8B26EEDBE3297702DB9A15


文件
C:\Documents and Settings\All Users\Application Data\CacheMgr.exe
或C:\ProgramData\CacheMgr.exe
C:\Documents and Settings\All Users\Application Data\csetup.tmp
或C:\ProgramData\csetup.tmp

%temp%\cac[XXXX].tmp

注册表
开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\StubPath
"C:\ProgramData\CacheMgr.exe" -as
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\2CBE016A-8F28-4E0C-83A6-6079161294D7

互斥量 2CBE016A-8F28-4E0C-83A6-6079161294D7
互斥量 Bif123

网络
74.125.224.112:80
74.125.224.113:80
74.125.224.114:80
74.125.224.115:80
74.125.224.116:80
207.46.197.32:80
207.46.232.182:80
129.42.38.1:80
198.133.219.25:80
http://fionades.com/ABIUS/setup.exe

窗口 CacheMgr

参考资料

  • Glupteba Loader IOCs - SEC-1275-1

  • 应急响应案例-CSDN博客

  • Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for ‘6697SampleMalware.exe’ (hybrid-analysis.com)

  • Malware analysis CacheMgr.exe Malicious activity | ANY.RUN - Malware Sandbox Online

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1583490.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

uniapp - 微信小程序 - 使用uCharts的一些问题

文章目录 uniapp - 微信小程序 - 使用uCharts的一些问题一、开发者工具显示正常,真机调试统计图不随页面滚动二、数据过多开启滚动条,无法滑动滚动条三、饼图点击不显示提示窗/点击位置bug、多个同类型统计图点击不显示提示框问题四、 formatter 自定义 …

九州金榜|孩子叛逆期仇视父母怎么办?

孩子在成长到一段阶段就会出现叛逆,孩子出现了叛逆情绪,如果家长处理不好亲子关系,孩子很容易仇视父母,这对于家长来说是非常心痛的,在这个阶段的孩子对父母来说,具有一定挑战性,这也是引导孩子…

基于单片机电子指南针系统设计

**单片机设计介绍,基于单片机电子指南针系统设计 文章目录 一 概要二、功能设计设计思路 三、 软件设计原理图 五、 程序六、 文章目录 一 概要 基于单片机电子指南针系统设计概要主要涵盖了硬件设计、软件设计、磁场传感器选择、数据处理和显示等方面。以下是对该…

【MySQL数据库 | 第二十五篇】深入探讨MVCC底层原理

前言: 在当今互联网时代,数据库扮演着数据存储和管理的关键角色。对于大型Web应用程序和企业级系统而言,高效地处理并发访问和事务管理是至关重要的。多版本并发控制(MVCC)是一种数据库事务处理的技术,旨…

【数据结构练习题】队——1.用队实现栈2.用栈实现队

♥♥♥♥♥个人主页♥♥♥♥♥ ♥♥♥♥♥数据结构练习题总结专栏♥♥♥♥♥ ♥♥♥♥♥上一章:堆的练习题♥♥♥♥♥ 文章目录 1.用队去实现栈1.1问题描述1.2思路分析1.3绘图分析1.4代码实现2.用栈实现队2.1问题描述2.2思路分析1.3绘图分析2.4代码实现 1.用队去实现…

doss攻击为什么是无解的?

这个让Google、亚马逊等实力巨头公司也无法避免的攻击。可以这么说,是目前最强大、最难防御的攻击之一,属于世界级难题,并且没有解决办法。 Doss攻击的原理不复杂,就是利用大量肉鸡仿照真实用户行为,使目标服务器资源…

【漏洞复现】WordPress Welcart 任意文件读取漏洞(CVE-2022-4140)

0x01 产品简介 Welcart 是一款免费的 WordPress 电子商务插件。Welcart 具有许多用于制作在线商店的功能和自定义设置。您可以轻松创建自己的原始在线商店。 0x02 漏洞概述 Welcart存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞读取任意文件,获…

【无标题】系统思考—心智模式

“直到你使无意识变为有意识,它将指导你的生活并且你会称之为命运。”—卡尔荣格 心智模式深藏于我们内心之中,它潜移默化地影响着我们对世界的理解和判断。往往这些影响是如此隐蔽,以至于我们自己都未必察觉到是什么在驱动我们的选择、决策…

利用Python ARM网关仓储物流AGV小车控制器

在现代智慧物流体系中,高效的信息管理系统是物流中心实现精准跟踪货物、科学管理库存及优化配送路线的关键环节。通过采用ARM架构的工控机或网关,并结合Python的二次开发能力,可以有效集成并强化物流管理系统的数据处理与通信功能&#xff0c…

最坏情况为线性时间的第k大元素

在统计和数据分析中,我们经常会遇到求最大值、最小值、中位数、四分位数、Top K等类似需求,其实它们都属于顺序统计量,本文将对顺序统计量的定义和求解算法进行介绍,重点介绍如何在最差时间复杂度也是线性的情况下求解第k大元素。…

代码随想录:栈与队列4-6

20.有效的括号 题目 给定一个只包括 (,),{,},[,] 的字符串 s ,判断字符串是否有效。 有效字符串需满足: 左括号必须用相同类型的右括号闭合。左括号必须以正确的顺序闭合。每个右括号都有一…

OpenHarmony分布式软总线API调用测试工具 softbus_tool使用说明

softbus_tool 是 OpenHarmony 分布式软总线 API 调用测试工具,文件结构如下图所示。 softbus_tool 能够将软总线 interfaces 目录下的一些常用接口集中起来,供设备间搭建一些场景时使用(比如设备绑定、BR 组网,BLE 组网&#xff…

红豆Cat 1开源|项目三: 从0-1设计一款HTTP版本RTU(支持GNSS)产品的软硬件全过程

HTTP版RTU(支持GNSS)项目概述 RTU(Remote Terminal Unit),中文即远程终端控制系统,负责对现场信号、工业设备的监测和控制。RTU是构成企业综合自动化系统的核心装置,通常由信号输入/出模块、微…

ArrayList中多线程的不安全问题

ArrayList中的不安全问题 正常的输出 List<String> list Arrays.asList("1","2","3"); list.forEach(System.out::println);为什么可以这样输出&#xff0c;是一种函数是接口&#xff0c;我们先过个耳熟 Arrys.asList是返回一个ArrayL…

Redis高级-分布式缓存RDB原理

分布式缓存 1.1.2.RDB原理 bgsave开始时会fork主进程得到子进程&#xff0c;子进程共享主进程的内存数据。完成fork后读取内存数据并写入 RDB 文件。 fork采用的是copy-on-write技术&#xff1a; 当主进程执行读操作时&#xff0c;访问共享内存&#xff1b;当主进程执行写操…

振弦式应变计在岩土工程中的应用

岩土工程是土木工程的一个重要分支&#xff0c;主要研究岩石、土壤等天然材料的工程特性及其在工程中的应用。它涉及地基基础、边坡工程、隧道工程、水利水电工程等众多领域&#xff0c;是保障建筑物安全、稳定的基础性工程。 点击输入图片描述&#xff08;最多30字&#xff09…

rabbitmq延迟队列的使用

rabbitmq延迟队列的使用 1、场景&#xff1a; 1.定时发布文章 2.秒杀之后&#xff0c;给30分钟时间进行支付&#xff0c;如果30分钟后&#xff0c;没有支付&#xff0c;订单取消。 3.预约餐厅&#xff0c;提前半个小时发短信通知用户。 A -> 13:00 17:00 16:30 延迟时间&a…

再也不怕面试官问 OOM了,一次生产环境 Metaspace OOM 排查流程实操!

问题背景 小奎公司的运维同时今天反映核心业务一个服务目前 CPU 的使用率、堆内存、非堆内存的使用率有点高。刚反映没有过多久该服务就直接 OOM 了&#xff0c;以下是生产监控平台监控信息。 CPU 使用率监控 堆内存和非堆内存使用率 OOM 产生的日志报错信息 问题分析 根…

kali使用msf+apkhook520+cploar实现安卓手的攻击

学习网络安全的过程中&#xff0c;突发奇想怎么才能控制或者说是攻击手机 边找工作边实验 话不多说启动kali 一、使用msfapktool生成简单的木马程序 首先使用kali自带的msfvenom写上这样一段代码 选择安卓 kali的ip 一个空闲的端口 要输出的文件名 msfvenom -p android/met…

9个最受欢迎的开源自动化测试框架盘点!

自动化测试框架可以帮助测试人员评估多个Web和移动应用程序的功能&#xff0c;安全性&#xff0c;可用性和可访问性。尽管团队可以自己构建复杂的自动化测试框架&#xff0c;但是当他们可以使用现有的开源工具&#xff0c;库和测试框架获得相同甚至更好的结果时&#xff0c;通常…