吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17150|回复: 55
收起左侧

[PC样本分析] 挖矿病毒通过Flash漏洞传播 火绒用户无需升级即可防御

[复制链接]
火绒安全实验室 发表于 2018-4-24 18:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
    4月24日,火绒安全团队发出警报,病毒团伙利用Adobe Flash漏洞传播挖矿病毒。病毒团伙将挖矿程序植入到游戏下载站“52pk”中(http://www.52pk.com),当用户访问该网站,带毒页面展示后,无需任何操作,挖矿程序便会立即运行,利用用户电脑“挖矿”(门罗币)。特别的是,该病毒使用的“免杀”技术相比以往的简单篡改文件哈希有较大改进,已经有了国外混淆器免杀技术的雏形,在一定程度上提升了安全软件对其查杀的门槛。“火绒安全软件”无需升级即可防御该病毒。


    通过我们对该样本的分析,我们发现虽然样本来源为国内,但是其所使用的混淆技术已经具备一些简单的混淆器特征,如:使用无效参数调用系统API、利用系统API影响原始镜像加载流程等。用于解密原始镜像数据的代码数据被存放在资源“YBNHVXA”中,病毒没有使用资源相关的API读取数据而是直接通过硬地址进行数据读取。资源数据,如下图所示:


   

    病毒资源

相关代码如下图所示:

   

    获取解密代码

在主要病毒逻辑代码中被插入了大量的无效函数调用,参数全部都为0。如果虚拟机引擎未对这些API进行模拟,则会无法解密出原始镜像数据。虽然该病毒所使用的混淆手法极为简单,但也已经具备了混淆器对抗虚拟机引擎的一些技术特点,可能将来国内病毒与安全软件的对抗方式也会以混淆器为主。相关代码如下图所示:

   

    混淆代码

    该病毒在火绒虚拟行为沙盒中的运行行为,如下图所示:

   

    虚拟行为沙盒中的病毒行为
在混淆代码运行完成后,最终执行的恶意代码会挖取门罗币,矿工相关信息如下图所示:

   

    矿工信息
通过对门罗币钱包地址的查询,我们可以看到当前为该钱包地址进行挖矿的矿工情况,截止到此时矿工总数为483。如下图所述:

   

    门罗币钱包情况

附录
文中涉及样本SHA256:


   

免费评分

参与人数 23吾爱币 +26 热心值 +23 收起 理由
二白 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
liuzx66 + 1 + 1 我很赞同!
wapj-wang + 1 + 1 谢谢@Thanks!
战歌酒吧 + 1 + 1 热心回复!
好人家02 + 1 + 1 我很赞同!
lbb2ch + 1 + 1 我很赞同!
Autom + 1 + 1 谢谢@Thanks!
lmdme + 1 + 1 我很赞同!
我只是条咸鱼 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
nanmobei + 1 + 1 用心讨论,共获提升!
eihouwang001 + 1 + 1 谢谢@Thanks!
堂前燕 + 1 + 1 谢谢@Thanks!
二逼159 + 1 + 1 谢谢@Thanks!
我是神金币 + 1 + 1 热心回复!
言己忄意 + 1 + 1 热心回复!
吾爱luo + 1 我也点进去了 怎么办
我爱小彤 + 1 + 1 我很赞同!
yuishang + 1 + 1 热心回复!
jwfyyl + 1 + 1 谢谢@Thanks!
gkyhky + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
13422606502 + 1 + 1 我刚刚点进去你发的网站了,会中毒吗?
panpcj + 3 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
野生的沫沫 + 3 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 火绒安全实验室 发表于 2018-4-25 11:07
nedesq 发表于 2018-4-24 19:47
火绒并不是很强    很多病毒查不出来!  比如说U盘中的驱动

您好,漏杀的病毒欢迎您到火绒论坛上传样本,帮助我们成长
 楼主| 火绒安全实验室 发表于 2018-4-25 11:01
嘴角微微上扬 发表于 2018-4-25 09:34
我看到了“火绒虚拟沙盒”,哈哈,什么时候上线啊?

您好。火绒虚拟沙盒是应用在火绒杀毒引擎中的。没有单独的模块。
shagua 发表于 2018-4-24 18:24
lncyq 发表于 2018-4-24 18:30
话说我已经裸奔多年了,如果想下载一个安全软件用火绒可靠么
萌哒哒小乐天 发表于 2018-4-24 18:31
矿工真的什么事都做得出来。。楼主的分析很专业(虽然看不懂
ohgami_lxy 发表于 2018-4-24 18:47
谢谢楼主分享
我才不是狮子喵 发表于 2018-4-24 18:54
感谢楼主分享~
gkyhky 发表于 2018-4-24 18:55
了解下  感谢分享
hao1234566 发表于 2018-4-24 19:02
火绒越来越厉害了。
plongling 发表于 2018-4-24 19:06
下个火绒吧
yuishang 发表于 2018-4-24 19:23
海星海星。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 07:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表