吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 37114|回复: 108
收起左侧

[PC样本分析] 新病毒威胁单位局域网用户 伪装正常软件很难清除

  [复制链接]
火绒安全实验室 发表于 2018-6-27 19:55
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

    一、    概述
           近日,火绒安全团队截获新蠕虫病毒“SyncMiner” ,该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录(共享文件夹)迅速传播,入侵电脑后,会利用被感染电脑挖取“门罗币”,造成CPU占用率高达100%,并且该病毒还会通过远程服务器下载其他病毒模块,不排除盗号木马、勒索病毒等。
           根据火绒安全团队分析发现,蠕虫病毒“SyncMiner”会将自己复制到网络驱动器和共享资源目录,并伪装成视频文件夹,诱使用户点击病毒文件,从而激活病毒,并通过添加计划任务和开机启动项的方式驻留在系统中。其中,病毒将计划任务伪装为Java运行库的更新进程,在继续传播的同时进行挖矿;将开机启动项伪装为Adobe更新进程,检测并恢复病毒文件,使病毒屡杀不绝。

        
           目前,火绒“企业版”和“个人版”最新版均可彻底查杀蠕虫病毒“SyncMiner”。同时,政府、企业、医院、学校等受此类病毒威胁较大的局域网用户,我们建议申请安装“火绒企业版”,可有效防御局域网内病毒屡杀不绝的难题。
   
二、      SyncMiner蠕虫详细分析
           该病毒在运行后会将自身拷贝到%Appdata%\Java Sun和%AppData%\Roaming\Adobe路径下,利用计划任务和注册表项实现病毒自启动。该病毒会通过映射的网络驱动器和网络中的共享资源进行传播,并在被感染的机器上挖取门罗币。除此之外,病毒会向C&C服务器下载并执行其他的病毒模块。病毒的总体逻辑,如下图所示:

        

    病毒总体逻辑
           该蠕虫病毒会将自身复制到映射的网络驱动器和共享资源目录中,并将病毒命名为video.scr,配合其具有诱导性的图标,欺骗用户点击病毒文件,从而激活携带的恶意代码。感染后的共享文件夹,如下图所示:

        

    被病毒感染的共享文件夹
           当病毒运行时,会判断传递给病毒进程的参数,当参数为“sync”时,会把病毒文件拷贝到%Appdata%\Java Sun路径下,并将其注册成名为“SunJavaUpdateSched”的计划任务。代码逻辑,如下图所示:

        

    将病毒注册为计划任务
           注册的计划任务在每天8:00触发后,每隔15分钟重复一次,触发器在2040年1月1日过期,操作为“%Appdata%\Roaming\Java Sun\jucheck.exe begin”。计划任务属性,如下图所示:

        

注册的计划任务属性
           计划任务对应的病毒进程在运行时,会利用当前计算机挖矿,挖矿时计算机CPU会高达100%,容易被安全软件发现并清除。为了使得病毒更长久的驻留在系统中,病毒还将自身拷贝到%AppData%\Roaming\Adobe目录下,将其命名为UpdaterStartupUtility.exe,伪装成Adobe升级程序,并通过注册表设置为开机启动项 “AdobeAAMUpdater”。这样做的目的是,如果计划任务对应的病毒被清除,当系统再次重启之后,病毒可以恢复计划任务与对应的病毒文件,从而继续执行恶意代码。病毒逻辑,如下图所示:

        

    注册为开机启动项
    1.   传播方式
           该蠕虫病毒具有很强的内网传播能力,其传播方式有两种。第一种是通过映射的网络驱动器进行传播,该病毒会枚举注册表(HKEY_CURRENT_USER\Network)下关于当前系统映射的网络驱动器,并将蠕虫病毒拷贝到存在的网络驱动器根目录下。相关代码逻辑,如下图所示:

        

    病毒利用网络驱动器传播
           第二种是利用共享资源进程传播,病毒会获取当前系统的ip地址,从而获得当前网络所属的网段,然后病毒会扫描当前网段中开放的139端口和445端口,若存在开放这些端口的计算机,则会检索有关计算机上每个共享资源的信息,并且检测与共享资源有关的安全描述符是否可用,若可用,则会获取当前共享资源的名称,并将病毒拷贝到此共享下。相关代码逻辑,如下图所示:

        

病毒利用共享资源进行传播
    2.  挖取门罗币
           该蠕虫病毒在传播到受害者机器上之后会利用受害者机器的计算能力来挖取门罗币,病毒使用的门罗币钱包地址首笔交易记录是在2018年1月9日。挖矿的钱包地址和矿池,如下图所示:

        

    钱包和矿池
           病毒使用的门罗币钱包信息,如下图所示:

        

    门罗币钱包信息
           病毒会将存储在PE镜像中的多份配置文件相关的数据恢复成完整的配置文件,然后获取其中的配置信息开始挖矿。相关代码逻辑,如下图所示:

        

    恢复配置文件并开始挖矿
           矿工登陆矿池时的网络数据,如下图所示:

        

    登陆矿池时的网络数据
    3.  下载执行其他病毒模块
           该病毒除了以上的病毒功能之外,还会从C&C服务器(hxxp://data28.somee.com/data.zip)下载执行其他的病毒模块(不排除盗号病毒,勒索病毒等)。病毒从C&C服务器下载病毒逻辑,如下图所示:

        

    从C&C服务器下载病毒
           执行下载的病毒模块,代码逻辑,如下图所示:

        

    运行下载的病毒模块
    三、      附录
           文中涉及样本SHA256:

        
   
   

免费评分

参与人数 34吾爱币 +33 热心值 +30 收起 理由
c0okie5 + 1 热心回复!
quanp520 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
Cherishao + 1 + 1 用心讨论,共获提升!
guogxd + 1 我很赞同!
zym8058 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
非己非人 + 1 + 1 我很赞同!
crazywdd + 1 + 1 用心讨论,共获提升!
玩机小白丶王 + 1 我很赞同!
rss + 1 鼓励转贴优秀软件安全工具和文档!
myheartwillg + 2 + 1 我很赞同!
反反复复ssss + 1 + 1 用心讨论,共获提升!
波波维奇 + 1 + 1 用心讨论,共获提升!
popddos + 1 + 1 用心讨论,共获提升!
xcz0525 + 1 + 1 谢谢@Thanks!
sunzhitong_1987 + 1 + 1 用心讨论,共获提升!
myhexdon254 + 1 + 1 我很赞同!
weihe + 1 + 1 谢谢@Thanks!
一牛神一 + 1 + 1 用心讨论,共获提升!
kicebeauty + 1 + 1 用心讨论,共获提升!
战歌酒吧 + 1 + 1 用心讨论,共获提升!
执念i_ + 1 + 1 用心讨论,共获提升!
vipgoat + 1 360不行么?
BigOrange + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
kong1383068 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a954210336 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sd4718789qw + 1 + 1 鼓励转贴优秀软件安全工具和文档!
我爱她。有种宁 + 1 + 1 用心讨论,共获提升!
izchoo + 1 + 1 用心讨论,共获提升!
snccwt + 1 + 1 用心讨论,共获提升!
ngxh + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Jack_007 + 1 + 1 用心讨论,共获提升!
神月夜 + 1 + 1 我很赞同!
独行风云 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

逍遥一仙 发表于 2018-6-28 15:16
小仲子 发表于 2018-6-28 10:19
真是牛逼,点进来看了一圈不懂,我出门右转继续学习一下先。

话说,能防止吗?装什么软件能防御这个病毒 ...

读完文章先

目前,火绒“企业版”和“个人版”最新版均可彻底查杀蠕虫病毒“SyncMiner”。同时,政府、企业、医院、学校等受此类病毒威胁较大的局域网用户,我们建议申请安装“火绒企业版”,可有效防御局域网内病毒屡杀不绝的难题。
asdcy2003 发表于 2018-12-9 00:11
我就想问问 有没有这样的病毒 植入公司 自动通过局域网传播 自动读取 office 文件 然后发送到邮箱中
天轩科技 发表于 2018-6-27 20:10
adlnux 发表于 2018-6-27 20:12
我们单位就中毒了,疯狂发邮件传播病毒
开膛手杰客 发表于 2018-6-27 20:17
这个就比较六了!!!
zuiai125520 发表于 2018-6-27 20:22
这个局域网传播就真的恶心了  还坑了自己人
wuyy 发表于 2018-6-27 20:35
这个局域网传播就真的恶心了  还坑了自己人
mengsiyiren 发表于 2018-6-27 20:38
谢谢大佬分析,看看公司的电脑怎么样
yryinrui 发表于 2018-6-27 20:41
前排。围观大神。
www.52pojie.cn 发表于 2018-6-27 20:42
火绒发展的很不错
xijuwater988 发表于 2018-6-27 20:51
支持火绒,@
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 21:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表