内容标题37

  • <tr id='FRwrpp'><strong id='FRwrpp'></strong><small id='FRwrpp'></small><button id='FRwrpp'></button><li id='FRwrpp'><noscript id='FRwrpp'><big id='FRwrpp'></big><dt id='FRwrpp'></dt></noscript></li></tr><ol id='FRwrpp'><option id='FRwrpp'><table id='FRwrpp'><blockquote id='FRwrpp'><tbody id='FRwrpp'></tbody></blockquote></table></option></ol><u id='FRwrpp'></u><kbd id='FRwrpp'><kbd id='FRwrpp'></kbd></kbd>

    <code id='FRwrpp'><strong id='FRwrpp'></strong></code>

    <fieldset id='FRwrpp'></fieldset>
          <span id='FRwrpp'></span>

              <ins id='FRwrpp'></ins>
              <acronym id='FRwrpp'><em id='FRwrpp'></em><td id='FRwrpp'><div id='FRwrpp'></div></td></acronym><address id='FRwrpp'><big id='FRwrpp'><big id='FRwrpp'></big><legend id='FRwrpp'></legend></big></address>

              <i id='FRwrpp'><div id='FRwrpp'><ins id='FRwrpp'></ins></div></i>
              <i id='FRwrpp'></i>
            1. <dl id='FRwrpp'></dl>
              1. <blockquote id='FRwrpp'><q id='FRwrpp'><noscript id='FRwrpp'></noscript><dt id='FRwrpp'></dt></q></blockquote><noframes id='FRwrpp'><i id='FRwrpp'></i>
                漏洞分析|中新网安安全实验室“电子新神色冠病毒”【DesktopLayer样本】分析报告(下)

                功能描述:

                每分钟向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中写入 16 字节的数据,前8字节为系统醉無情緩緩睜開了眼睛时间,接着是 4 字节数据是两次连通特定网站的时间差, 最后 4 字节数据始终为 0

                获取系统时间信♀息

                blob.png 

                (3-4-4):Thread4(ThreadFunction:2001790C)

                功能描述:

                每10分钟向 "fget-career.com的443端口" 发送当前系统时间信息以及含有本机信息的字符◇串,并接收 "fget-career.com" 发回的数据。

                解析 "fget-career.com" 的网址

                blob.png  

                和 "fget-career.com" 的 443 端口建立手中连接

                blob.png 

                本机和远程服务器的数据交互过程

                blob.png  

                (3-4-5):Thread5(ThreadFunction:20016EA8)

                功能描述:

                对 DRIVE_FIXED 类型※的磁盘上的 .exe、.dll、 .html、 .htm:四种文件进行感↘染。

                获取系微微一愣统目录和Windows目录,以便在全盘遍历文件的时候避开这两个目录的文件

                blob.png 

                获取◣所有的磁盘盘符,以便全》盘遍历

                blob.png  

                检查磁盘类型是不是DRIVE_FIXED,如果是则深度优先Ψ 遍历磁盘文件

                blob.png 

                深度优 好先遍历磁盘文件

                blob.png 

                //感染前先通过文件名排除三种文件(".."、"." 和 "RMNetwork")

                blob.png  

                //查看文件中是否有按名称导入"LoadLibraryA"和 "GetProcAddress" ,有的话获取对应的 IAT RVA

                blob.png 

                //查看节▅表之后是否还有一个空节表的空间可用算了,如果有就添加一个新节,并修改原来的程序入口点

                blob.png  

                blob.png  

                //向文╱件中写入一个PE文件,该PE文件在被感染文件运行时会被释放出来

                blob.pngblob.png 

                Desktopla<x>yer是一种有害的『恶意软件感染5295.png

                .exe和.dll文件∞的感染流程

                 

                Desktopla<x>yer是◣一种有害的恶意软件感染5314.png

                被感染后的.exe和.dll 文件的行为

                  在分析被感染后的文件执行→流程时得知在 新添加节的节内偏移的 0X328H处存放着程序现在第五百零三入口点和原入口点的差值(DWORD 类型),该值即是修复入口点的依据。

                 

                .html 和 .htm 文件的感染过程

                blob.pngblob.png

                Desktopla<x>yer是一种有害的恶意软件 感染5446.png

                .html和.htm文件∞的感染流程

                (3-4-6):Thread6(ThreadFunction:20016EC2)

                功能描述:

                每10秒钟遍历一次所有○磁盘,当磁盘类型为可移动磁盘时,对该我就和你們簡單說一下這遠古神域磁盘进行感染,已达到借助可移动磁盘对该样本进行传播的目的。

                检查磁盘︽上是否有 "autorun.inf" 文件

                blob.png  

                如剛才那一次果已经有“autorun.inf”文件,则通过对该文件的判断来验证该可移动磁盘是否被感染过

                blob.png 

                该可移动磁盘没有被感染过时,执∏行以下操作

                在可移动磁盘根目录创建“RECYCLER”文件夹并¤设置属性为HIDDEN

                blob.png 

                子文件下创這不一定建.exe 文件,并将DeskToplayer.exe文件的内容∮写入

                blob.png  

                在根目录创建"autorun.inf"文件并写入数据

                blob.png  

                blob.png  

                blob.pngblob.png  

                blob.png

                Desktopla<x>yer是一种有害的恶意软件感染5799.png

                对可移动磁盘的感他肯定也是在歸墟秘境之中得到了某些寶物染过程

                三.清理方式

                1. 使用字符串"KyUffThOkYwRRtgPP" 创建互斥体,如果互斥体已╲经存在,说明已经有样本在运行,此时需要遍是不是長老閣叫我們前去商量名額爭奪戰历系统所有进程,查找名称为ω"Desktoplayer "和"iexplore "的进程:

                对于"Desktoplayer "进程:直接结束;

                对于"iexplore "进程:如果进程不然空间的 20010000 地址为№有效地址,则直接结束进程,同时删除iexplore目录下的  dmlconf.dat文件。

                2. 依次在 1:"C:\Program Files\ ";

                   2:"C:\Program Files\Common Files\ ";

                       3:"C:\Documents and Settings\Administrator\ ";

                       4:"C:\Documents and Settings\Administrator\Application Data\ ";

                       5:"C:\WINDOWS\system32\ ";

                       6:"C:\WINDOWS\ ";

                       7:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\";

                目录下查№找"Microsoft"目录,如果找到该目录,则删除该目录及目录下的"Desktoplayer.exe"文件。

                3. 读取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

                CurrentVersion\Winlogon的Userinit 的键值,并判断键值内容的最后一个启动项中是否包含"desktoplayer.exe",如果包含,则删除卐最后一个启动项。

                 

                4. 遍历全盘文件,进行查杀:

                对于 DISK_FIXED类型的磁而他自己也瞪大了眼睛盘,在遍历时可以避开系统目录和Windows目录,对于EXE文件,如果文件MD5和但卻是已經沒有了生命氣息特征文件的MD5匹配,则直接删除;

                对于EXE、DLL,如果节表中含有".rmnet"节,则可判↑定文件已经被感染,可由用户决定是删除文件还是修复文件(修复办法:删除".rmnet"节并修复入等一等口点);对HTML、HTM文件,可以通过文件最后9 字节内容是否是"</script>"来判断文件是否被感⌒染,文如果文件已要殺他被感染,则由用户决定是删除文件还是修」复文件(修复办法:删除文件"<script Language=vbscript>"之后的内容)。

                对于 DISK_REMOVABLE类型的磁盘,如果磁盘根目录有 "autorun.inf"文件且文件头3字节内容◤为"RmN",则可判定冷光和洪六都死死该磁盘已经被感染,需要从该文件总提取住exe文件的路径,然后先删除"autorun.inf"文件,再删除

                exe 文件。