、Windows Loader
捕獲到一個(gè)偽裝成激活軟件WindowsLoader的病毒樣本。經(jīng)分析�����,該樣本并沒有激活功能�,其主要功能是安裝廣告軟件以及挖礦程序。
挖礦程序會(huì)拉起系統(tǒng)進(jìn)程并在其中注入挖礦代碼,并循環(huán)監(jiān)控taskmgr.exe進(jìn)程���,如果檢測(cè)到 taskmgr.exe進(jìn)程則終止挖礦,使得受害者比較難以察覺。
1 病毒母體 病毒母體圖標(biāo)偽裝成Windows Loader:
其實(shí)是用CreateInstall制作的安裝包:
安裝界面:
釋放如下幾個(gè)文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目錄并運(yùn)行腳本 WINLOADER_SETUP.BAT�����。
WINLOADER_SETUP.BAT依次運(yùn)行WindowsLoader.exe�、Registry_Activation_2751393056.exe和 activation.exe。
WindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟件,activation.exe則是挖礦程序。
2 WindowsLoader.exe
首先是WindowsLoader.exe安裝界面:
會(huì)下載并安裝RunBooster:
安裝RunBooster服務(wù):
RunBoosterUpdateTask升級(jí)任務(wù)計(jì)劃:
RunBooster的抓包行為:
3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安裝界面:
功能存在問題����,下載的exe文件沒有帶后綴名:
4 activation.exe 首先在Local目錄下新建cypjMERAky文件夾并將自己拷貝到下面�。
添加注冊(cè)表自啟動(dòng)項(xiàng)����。
檢測(cè)是否存在taskmgr.exe進(jìn)程。
如果taskmgr.exe進(jìn)程不存在則拉起系統(tǒng)進(jìn)程wuapp.exe,參數(shù)為" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2"�����。
將挖礦程序注入到wuapp.exe進(jìn)程�。
挖礦程序?yàn)殚_源的cpuminer-multi 1.2-dev。
進(jìn)入循環(huán)���,守護(hù)注冊(cè)表自啟動(dòng)項(xiàng),并檢測(cè)taskmgr.exe進(jìn)程��,如果檢測(cè)到則終止wuapp.exe����。
二��、小馬激活
"小馬激活"病毒的第一變種只是單純地在瀏覽器快捷方式后面添加網(wǎng)址參數(shù)和修改瀏覽器首頁的注冊(cè)表項(xiàng)����,以達(dá)到首頁劫持的目的���。由于安全軟件的查殺和首頁保護(hù)功能���,該版本并沒有長時(shí)間流行太長時(shí)間�。其第二變種,在原有基礎(chǔ)上增強(qiáng)了與安全軟件的對(duì)抗能力���。
由于其作為"系統(tǒng)激活工具"具有入場(chǎng)時(shí)間較早的優(yōu)勢(shì),使用驅(qū)動(dòng)與安全軟件進(jìn)行主動(dòng)對(duì)抗��,使安全軟件無法正常運(yùn)行����。在其第三個(gè)變種中�,其加入了文件保護(hù)和注冊(cè)表保護(hù)����,不但增加了病毒受害者自救的難度,還使得反病毒工程師在處理用戶現(xiàn)場(chǎng)時(shí)無法在短時(shí)間之內(nèi)發(fā)現(xiàn)病毒文件和病毒相關(guān)的注冊(cè)表項(xiàng)����。其第四個(gè)變種中���,利用WMI中的永久事件消費(fèi)者(ActiveScriptEventConsumer)注冊(cè)惡意腳本��,利用定時(shí)器觸發(fā)事件每隔一段時(shí)間就會(huì)執(zhí)行一段VBS腳本���,該腳本執(zhí)行之后會(huì)在瀏覽器快捷方式后面添加網(wǎng)址參數(shù)���。該變種在感染計(jì)算機(jī)后����,不會(huì)在計(jì)算機(jī)中產(chǎn)生任何文件,使得病毒分析人員很難發(fā)現(xiàn)病毒行為的來源��,大大增加了病毒的查殺難度����。通過如下表格我們可以更直觀的了解其發(fā)展過程:
通過我們近期接到的用戶反饋,我們發(fā)現(xiàn)了"小馬激活"病毒的新變種����。該變種所運(yùn)用的對(duì)抗技術(shù)十分復(fù)雜�����,進(jìn)一步增加了安全軟件對(duì)其有效處理的難度,甚至使得病毒分析人員通過遠(yuǎn)程協(xié)助處理用戶現(xiàn)場(chǎng)變得更困難���。這個(gè)"小馬激活"病毒的最新變種運(yùn)行界面如下:
2 樣本分析
該病毒釋放的驅(qū)動(dòng)文件通過VMProtect加殼,并通過過濾驅(qū)動(dòng)的方式攔截文件系統(tǒng)操作(圖2)�,其目的是保護(hù)其釋放的動(dòng)態(tài)庫文件無法被刪除��。通過文件系統(tǒng)過濾驅(qū)動(dòng),使得系統(tǒng)中的其他進(jìn)程在打開該驅(qū)動(dòng)文件句柄時(shí)獲得的是tcpip.sys文件的句柄�,如果強(qiáng)行刪除該驅(qū)動(dòng)文件則會(huì)變?yōu)閯h除tcpip.sys文件��,造成系統(tǒng)無法正常連接網(wǎng)絡(luò)。我們通過下圖可以看到火絨劍在查看文件信息時(shí)����,讀取的其實(shí)是tcpip.sys文件的文件信息。由于此功能��,使得病毒分析人員無法在系統(tǒng)中正常獲取該驅(qū)動(dòng)的樣本��。
該驅(qū)動(dòng)通過注冊(cè)關(guān)機(jī)回調(diào)在系統(tǒng)關(guān)機(jī)時(shí)該驅(qū)動(dòng)會(huì)將自身在%SystemRoot%\System32\Drivers目錄重新拷貝成隨機(jī)名字的新驅(qū)動(dòng)文件��,并將驅(qū)動(dòng)信息寫入注冊(cè)表,以便于下一次時(shí)啟動(dòng)加載。在驅(qū)動(dòng)加載之
后�����,其會(huì)將locc.dll注入到explorer.exe進(jìn)程中�����。該驅(qū)動(dòng)對(duì)locc.dll文件也進(jìn)行了保護(hù)��,當(dāng)試圖修改或者刪除該動(dòng)態(tài)庫時(shí),會(huì)彈出錯(cuò)誤提示"文件過大"。
當(dāng)病毒的驅(qū)動(dòng)將locc.dll注入到explorer.exe進(jìn)程后會(huì)執(zhí)行首頁劫持相關(guān)邏輯���。通過火絨劍的內(nèi)存轉(zhuǎn)儲(chǔ),我們可以看到該病毒鎖定的所有網(wǎng)址。
l l l l l l l l l l l l l l l l l
通過抓取上述網(wǎng)址中的網(wǎng)頁信息�����,我們可以發(fā)現(xiàn)上述網(wǎng)址中存放的其實(shí)是一個(gè)跳轉(zhuǎn)頁�。通過使用跳轉(zhuǎn)頁面,病毒作者可以靈活調(diào)整計(jì)費(fèi)鏈接和推廣網(wǎng)址,并且對(duì)來自不同瀏覽器的流量進(jìn)行分類統(tǒng)計(jì)���。
三、解決方案
(1) 不從不明網(wǎng)站下載軟件��,不要點(diǎn)擊來源不明的郵件以及附件��;
(2) 及時(shí)給電腦打補(bǔ)丁��,修復(fù)漏洞��;
(3) 盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445,135,139,3389等�;
(4) 安裝專業(yè)的終端/服務(wù)器安全防護(hù)軟件�,深信服EDR能夠有效查殺該病毒�。
探討滲透測(cè)試及黑客技術(shù)�,請(qǐng)關(guān)注并私信我。#小白入行網(wǎng)絡(luò)安全# #安界網(wǎng)人才培養(yǎng)計(jì)劃#
關(guān)于電腦重裝系統(tǒng)的方法有很多,之所以很多人經(jīng)常問這個(gè)問題�。我想可能是方法太多太雜�,讓很多朋友感到了迷茫���。同時(shí)����,由于對(duì)安裝系統(tǒng)方面不是很了解,對(duì)于注意事項(xiàng)不太清楚,最后就算安裝好了系統(tǒng),結(jié)果發(fā)現(xiàn)系統(tǒng)里面附帶了很多垃圾軟件����,使用起來就感到別扭�,或者不放心�。
今天我分享一些自己的經(jīng)驗(yàn)給大家,主要分享安裝系統(tǒng)需要注意哪些事項(xiàng)以及如何用U盤來安裝系統(tǒng)兩個(gè)部分。
1���、安裝系統(tǒng)注意事項(xiàng)有哪些?
很多朋友會(huì)在網(wǎng)上下載Ghost鏡像安裝���,這里我是不推薦的。主要是因?yàn)椴环判?,因?yàn)楹芏嗟腉host鏡像都是別人處理過的版本�����,他們會(huì)在系統(tǒng)里植入一些軟件,或者其他一些亂七八糟的東西�����。雖然很多系統(tǒng)都說是純凈版��,但也會(huì)多多少少安裝一些東西進(jìn)去�,這算是比較良心的了���?��?梢矔?huì)有些系統(tǒng)會(huì)存在惡意的軟件�、代碼之類的���。所以����,我還是建議大家通過微軟官方去下載鏡像會(huì)好一點(diǎn)兒。
在使用U盤制作安裝鏡像的時(shí)候�,網(wǎng)上很多比較專業(yè)的軟件功能也比較強(qiáng)大�,但也有一個(gè)缺陷�����,就是步驟繁瑣���,選擇項(xiàng)很多���,這勢(shì)必會(huì)給很多小白用戶造成困擾����,在安裝過程中總要對(duì)著教程一點(diǎn)點(diǎn)確認(rèn)����,就怕哪里出錯(cuò)了。如果你也有這樣的疑慮的話���,我的建議是,用我今天分享的方法�����,這個(gè)方法就和你用光盤安裝一樣���,只需要不停的“下一步”就可以完成安裝�。
2、如何通過U盤來重裝系統(tǒng)�?
提前我們需要準(zhǔn)備好的東西有3樣:U盤(硬件)����、U盤刻錄軟件和ISO鏡像(軟件)
U盤大小建議使用8G的���,Windows的任何系統(tǒng)都可以裝得下�����。U盤刻錄建議使用“UltraISO”軟件��,我一直再用,ISO鏡像文件建議去MSDN下載�,這是微軟官方的下載通道�����。不要擔(dān)心安裝后激活的問題,我會(huì)在后面講到�。
接下來我們可以開始操作了���。
首先����,打開U盤刻錄軟件后�����,將操作系統(tǒng)的鏡像文件寫入到U盤中去,這一步會(huì)將U盤格式化,然后把ISO刻錄到U盤,會(huì)花一點(diǎn)時(shí)間��,等待完成即可�����。
接著��,當(dāng)系統(tǒng)刻錄完成后,我們就可以重啟電腦開始安裝了,在電腦重啟過程中�,需要我們不停的在鍵盤上按系統(tǒng)啟動(dòng)快捷鍵����,不同品牌的電腦���,快捷鍵也不一樣��。大多數(shù)都是F1-F12其中一個(gè)����,也有的是ESC鍵�,大家根據(jù)自己的電腦具體對(duì)待吧。
進(jìn)入后就會(huì)出現(xiàn)下面這樣的畫面,我們通過鍵盤上的上下箭頭選擇“USB”�,
然后回車�,就會(huì)進(jìn)入到系統(tǒng)正式安裝界面了�����,如下圖���。
接下來的過程就和使用光盤是一樣的了���,選擇好安裝盤符后就開始安裝���,直到完成。此時(shí)���,我們的U盤重裝電腦就已經(jīng)完成了。還差最后一步��,那就是激活了���。
我們使用“KMSpico”激活工具就可以激活系統(tǒng)了,這個(gè)工具不僅能激活系統(tǒng)�����,對(duì)于我們電腦上安裝的Office軟件也同樣可以激活�����。方法也很簡單���,運(yùn)行后點(diǎn)擊下一步��,直到結(jié)束,最后重啟電腦就可以了。
以上關(guān)于U盤安裝電腦的方法����,如果有幫助到你��,請(qǐng)點(diǎn)個(gè)贊吧,謝謝!
如有何疑問����,也請(qǐng)留言交流�!
