免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

漏洞分析|中新網(wǎng)安安全實(shí)驗(yàn)室“電子新冠病毒”【DesktopLayer樣本】分析報(bào)告(下)

功能描述:

每分鐘向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中寫入 16 字節(jié)的數(shù)據(jù),前8字節(jié)為系統(tǒng)時(shí)間,接著是 4 字節(jié)數(shù)據(jù)是兩次連通特定網(wǎng)站的時(shí)間差, 最后 4 字節(jié)數(shù)據(jù)始終為 0

獲取系統(tǒng)時(shí)間信息

blob.png 

(3-4-4):Thread4(ThreadFunction:2001790C)

功能描述:

每10分鐘向 "fget-career.com的443端口" 發(fā)送當(dāng)前系統(tǒng)時(shí)間信息以及含有本機(jī)信息的字符串,并接收 "fget-career.com" 發(fā)回的數(shù)據(jù)。

解析 "fget-career.com" 的網(wǎng)址

blob.png  

和 "fget-career.com" 的 443 端口建立連接

blob.png 

本機(jī)和遠(yuǎn)程服務(wù)器的數(shù)據(jù)交互過(guò)程

blob.png  

(3-4-5):Thread5(ThreadFunction:20016EA8)

功能描述:

對(duì) DRIVE_FIXED 類型的磁盤上的 .exe、.dll、 .html、 .htm:四種文件進(jìn)行感染。

獲取系統(tǒng)目錄和Windows目錄,以便在全盤遍歷文件的時(shí)候避開這兩個(gè)目錄的文件

blob.png 

獲取所有的磁盤盤符,以便全盤遍歷

blob.png  

檢查磁盤類型是不是DRIVE_FIXED,如果是則深度優(yōu)先遍歷磁盤文件

blob.png 

深度優(yōu)先遍歷磁盤文件

blob.png 

//感染前先通過(guò)文件名排除三種文件(".."、"." 和 "RMNetwork")

blob.png  

//查看文件中是否有按名稱導(dǎo)入"LoadLibraryA"和 "GetProcAddress" ,有的話獲取對(duì)應(yīng)的 IAT RVA

blob.png 

//查看節(jié)表之后是否還有一個(gè)空節(jié)表的空間可用,如果有就添加一個(gè)新節(jié),并修改原來(lái)的程序入口點(diǎn)

blob.png  

blob.png  

//向文件中寫入一個(gè)PE文件,該P(yáng)E文件在被感染文件運(yùn)行時(shí)會(huì)被釋放出來(lái)

blob.pngblob.png 

Desktopla<x>yer是一種有害的惡意軟件感染5295.png

.exe和.dll文件的感染流程

 

Desktopla<x>yer是一種有害的惡意軟件感染5314.png

被感染后的.exe和.dll 文件的行為

  在分析被感染后的文件執(zhí)行流程時(shí)得知在 新添加節(jié)的節(jié)內(nèi)偏移的 0X328H處存放著程序現(xiàn)在入口點(diǎn)和原入口點(diǎn)的差值(DWORD 類型),該值即是修復(fù)入口點(diǎn)的依據(jù)。

 

.html 和 .htm 文件的感染過(guò)程

blob.pngblob.png

Desktopla<x>yer是一種有害的惡意軟件感染5446.png

.html和.htm文件的感染流程

(3-4-6):Thread6(ThreadFunction:20016EC2)

功能描述:

每10秒鐘遍歷一次所有磁盤,當(dāng)磁盤類型為可移動(dòng)磁盤時(shí),對(duì)該磁盤進(jìn)行感染,已達(dá)到借助可移動(dòng)磁盤對(duì)該樣本進(jìn)行傳播的目的。

檢查磁盤上是否有 "autorun.inf" 文件

blob.png  

如果已經(jīng)有“autorun.inf”文件,則通過(guò)對(duì)該文件的判斷來(lái)驗(yàn)證該可移動(dòng)磁盤是否被感染過(guò)

blob.png 

該可移動(dòng)磁盤沒(méi)有被感染過(guò)時(shí),執(zhí)行以下操作

在可移動(dòng)磁盤根目錄創(chuàng)建“RECYCLER”文件夾并設(shè)置屬性為HIDDEN

blob.png 

子文件下創(chuàng)建.exe 文件,并將DeskToplayer.exe文件的內(nèi)容寫入

blob.png  

在根目錄創(chuàng)建"autorun.inf"文件并寫入數(shù)據(jù)

blob.png  

blob.png  

blob.pngblob.png  

blob.png

Desktopla<x>yer是一種有害的惡意軟件感染5799.png

對(duì)可移動(dòng)磁盤的感染過(guò)程

三.清理方式

1. 使用字符串"KyUffThOkYwRRtgPP" 創(chuàng)建互斥體,如果互斥體已經(jīng)存在,說(shuō)明已經(jīng)有樣本在運(yùn)行,此時(shí)需要遍歷系統(tǒng)所有進(jìn)程,查找名稱為"Desktoplayer "和"iexplore "的進(jìn)程:

對(duì)于"Desktoplayer "進(jìn)程:直接結(jié)束;

對(duì)于"iexplore "進(jìn)程:如果進(jìn)程空間的 20010000 地址為有效地址,則直接結(jié)束進(jìn)程,同時(shí)刪除iexplore目錄下的  dmlconf.dat文件。

2. 依次在 1:"C:\Program Files\ ";

   2:"C:\Program Files\Common Files\ ";

       3:"C:\Documents and Settings\Administrator\ ";

       4:"C:\Documents and Settings\Administrator\Application Data\ ";

       5:"C:\WINDOWS\system32\ ";

       6:"C:\WINDOWS\ ";

       7:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\";

目錄下查找"Microsoft"目錄,如果找到該目錄,則刪除該目錄及目錄下的"Desktoplayer.exe"文件。

3. 讀取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon的Userinit 的鍵值,并判斷鍵值內(nèi)容的最后一個(gè)啟動(dòng)項(xiàng)中是否包含"desktoplayer.exe",如果包含,則刪除最后一個(gè)啟動(dòng)項(xiàng)。

 

4. 遍歷全盤文件,進(jìn)行查殺:

對(duì)于 DISK_FIXED類型的磁盤,在遍歷時(shí)可以避開系統(tǒng)目錄和Windows目錄,對(duì)于EXE文件,如果文件MD5和特征文件的MD5匹配,則直接刪除;

對(duì)于EXE、DLL,如果節(jié)表中含有".rmnet"節(jié),則可判定文件已經(jīng)被感染,可由用戶決定是刪除文件還是修復(fù)文件(修復(fù)辦法:刪除".rmnet"節(jié)并修復(fù)入口點(diǎn));對(duì)HTML、HTM文件,可以通過(guò)文件最后9 字節(jié)內(nèi)容是否是"</script>"來(lái)判斷文件是否被感染,文如果文件已被感染,則由用戶決定是刪除文件還是修復(fù)文件(修復(fù)辦法:刪除文件"<script Language=vbscript>"之后的內(nèi)容)。

對(duì)于 DISK_REMOVABLE類型的磁盤,如果磁盤根目錄有 "autorun.inf"文件且文件頭3字節(jié)內(nèi)容為"RmN",則可判定該磁盤已經(jīng)被感染,需要從該文件總提取住exe文件的路徑,然后先刪除"autorun.inf"文件,再刪除

exe 文件。

丹寨县| 延川县| 禹州市| 革吉县| 彝良县| 宁阳县| 萝北县| 靖远县| 宕昌县| 湘潭市| 崇左市| 依兰县| 罗定市| 鄂托克旗|