亚洲AV无码乱码国产精品9,欧美理仑片色情斯巴达克斯,疯狂试爱免费视频观看,蜜臀色欲AV无人A片一区,亚洲少妇一级黄色片

漏洞分析|中新網安安全實驗室“電子新冠病毒”【DesktopLayer樣本】分析報告(下)

功能描述:

每分鐘向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中寫入 16 字(zi)(zi)節(jie)的(de)數(shu)(shu)據(ju),前8字(zi)(zi)節(jie)為系統時間,接著(zhu)是 4 字(zi)(zi)節(jie)數(shu)(shu)據(ju)是兩次連通特定(ding)網站的(de)時間差, 最后 4 字(zi)(zi)節(jie)數(shu)(shu)據(ju)始終為 0

獲取系統時間信息

blob.png 

(3-4-4):Thread4(ThreadFunction:2001790C)

功能描述:

每(mei)10分鐘向(xiang) "fget-career.com的443端口" 發送(song)當前系(xi)統時間(jian)信息以及含(han)有本機信息的字符串,并接收 "fget-career.com" 發回的數據。

解析 "fget-career.com" 的網址

blob.png  

和 "fget-career.com" 的 443 端口建立連(lian)接

blob.png 

本(ben)機和遠程服務器的數據交互過(guo)程

blob.png  

(3-4-5):Thread5(ThreadFunction:20016EA8)

功能描述:

對 DRIVE_FIXED 類型(xing)的(de)磁盤上(shang)的(de) .exe、.dll、 .html、 .htm:四種文(wen)件進行感染。

獲取系統目錄(lu)和Windows目錄(lu),以便在全盤(pan)遍歷文件的時候(hou)避開這兩個目錄(lu)的文件

blob.png 

獲取所(suo)有(you)的磁盤(pan)盤(pan)符,以便(bian)全(quan)盤(pan)遍歷

blob.png  

檢查磁盤類型是(shi)(shi)不(bu)是(shi)(shi)DRIVE_FIXED,如(ru)果是(shi)(shi)則深度優先遍(bian)歷磁盤文件

blob.png 

深度優先遍歷磁盤文件(jian)

blob.png 

//感染前(qian)先通過文(wen)件(jian)名排(pai)除(chu)三種文(wen)件(jian)(".."、"." 和 "RMNetwork")

blob.png  

//查看(kan)文件中是否有按名稱導入"LoadLibraryA"和 "GetProcAddress" ,有的(de)話獲取對應的(de) IAT RVA

blob.png 

//查看節表之后(hou)是否還有一個空節表的空間可用,如果有就(jiu)添加一個新節,并(bing)修改原來的程序入口(kou)點

blob.png  

blob.png  

//向文(wen)(wen)件(jian)中(zhong)寫(xie)入一個PE文(wen)(wen)件(jian),該PE文(wen)(wen)件(jian)在(zai)被(bei)感染文(wen)(wen)件(jian)運行時會被(bei)釋放出來(lai)

blob.pngblob.png 

Desktopla<x>yer是一種有害的惡意軟件感染5295.png

.exe和.dll文件的感染流程

 

Desktopla<x>yer是一種有害的惡意軟件感染5314.png

被感染后的.exe和(he).dll 文件的行為

  在分析被感染后的(de)文件執(zhi)行流(liu)程(cheng)時(shi)得知在 新添(tian)加節的(de)節內偏(pian)移的(de) 0X328H處存放著程(cheng)序現在入(ru)口(kou)點和原入(ru)口(kou)點的(de)差(cha)值(DWORD 類型),該值即是修復入(ru)口(kou)點的(de)依據。

 

.html 和 .htm 文件的感染(ran)過程

blob.pngblob.png

Desktopla<x>yer是一種有害的惡意軟件感染5446.png

.html和.htm文件的(de)感染流程

(3-4-6):Thread6(ThreadFunction:20016EC2)

功能描述:

每10秒鐘遍歷一次所(suo)有磁盤(pan),當(dang)磁盤(pan)類型(xing)為(wei)可(ke)移動(dong)磁盤(pan)時,對該(gai)磁盤(pan)進行感(gan)染,已達(da)到借(jie)助可(ke)移動(dong)磁盤(pan)對該(gai)樣本(ben)進行傳播(bo)的目的。

檢查磁盤上是否有 "autorun.inf" 文件

blob.png  

如果已經有“autorun.inf”文件(jian),則通過對該文件(jian)的判斷來驗證(zheng)該可移動磁盤(pan)是(shi)否(fou)被(bei)感染過

blob.png 

該可移動磁盤沒有被感染過(guo)時(shi),執(zhi)行以下(xia)操作

在可(ke)移動磁盤根目錄創建“RECYCLER”文件夾(jia)并設置屬性為HIDDEN

blob.png 

子文件下創建.exe 文件,并將DeskToplayer.exe文件的內容寫入

blob.png  

在(zai)根目(mu)錄(lu)創建(jian)"autorun.inf&quot;文件(jian)并寫(xie)入(ru)數據

blob.png  

blob.png  

blob.pngblob.png  

blob.png

Desktopla<x>yer是一種有害的惡意軟件感染5799.png

對可(ke)移(yi)動(dong)磁盤的感染過程

三.清理方式

1. 使用字符串"KyUffThOkYwRRtgPP" 創建互斥體,如果互斥體已經存在,說明已經有樣本在運行,此時需要遍歷系統所有進程,查找名稱為"Desktoplayer "和"iexplore "的進程:

對于"Desktoplayer "進程:直接結束;

對于"iexplore "進(jin)(jin)程(cheng):如果進(jin)(jin)程(cheng)空間(jian)的 20010000 地址為有效地址,則直接(jie)結束進(jin)(jin)程(cheng),同時(shi)刪除(chu)iexplore目錄下的  dmlconf.dat文件。

2. 依次(ci)在 1:"C:\Program Files\ ";

&nbsp;  2:"C:\Program Files\Common Files\ ";

   ;    3:"C:\Documents and Settings\Administrator\ ";

       4:"C:\Documents and Settings\Administrator\Application Data\ ";

       5:"C:\WINDOWS\system32\ ";

       6:"C:\WINDOWS\ ";

       7:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\";

目錄下查找"Microsoft"目錄,如果找到該目錄,則刪除該目錄及目錄下的"Desktoplayer.exe"文件。

3. 讀取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon的Userinit 的鍵值,并判斷鍵值內容的最后一個啟動項中是否包含"desktoplayer.exe",如果包含,則刪除最后一個啟動項。

 

4. 遍歷全盤文件,進(jin)行查殺:

對(dui)于 DISK_FIXED類型的磁(ci)盤,在遍歷時可以(yi)避(bi)開系統(tong)目錄和(he)Windows目錄,對(dui)于EXE文件(jian),如果文件(jian)MD5和(he)特征文件(jian)的MD5匹配,則直接刪除;

對于EXE、DLL,如果節表中含有".rmnet"節,則可判定文件已經被感染,可由用戶決定是刪除文件還是修復文件(修復辦法:刪除".rmnet"節并修復入口點);對HTML、HTM文件,可以通過文件最后9 字節內容是否是"</script>"來判斷文件是否被感染,文如果文件已被感染,則由用戶決定是刪除文件還是修復文件(修復辦法:刪除文件"<script Language=vbscript>"之后的內容)。

對(dui)于 DISK_REMOVABLE類型的磁(ci)盤,如(ru)果磁(ci)盤根目(mu)錄有(you) "autorun.inf"文(wen)件且(qie)文(wen)件頭3字節內(nei)容(rong)為(wei)"RmN",則可判定(ding)該(gai)磁(ci)盤已(yi)經被(bei)感(gan)染,需要從該(gai)文(wen)件總提取住exe文(wen)件的路(lu)徑,然后(hou)先(xian)刪(shan)除"autorun.inf&quot;文(wen)件,再(zai)刪(shan)除

exe 文件。