声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1
病毒基本信息
病毒特征
1.加密文件名.id[XXXXXXXX-XXXX].[勒索邮箱].病毒后缀
2.在注册表中写入自启动项
3.疑似利用SMB漏洞传播
No.2
病毒概述
样本为一个蠕虫木马.所属Delf家族,感染特征为电脑下所有exe都会被写入样本本身,并且会有文件原本信息与BagarBubba串.样本运行时会创建感染文件删除原文件,导致cpu内存被占用特征:1.感染文件在文件头被写入蠕虫木马2.感染文件在文件结尾会被写下BagarBubba3感染文件在蠕虫木马段后写下文件所在目录位置
No.3
技术分析
1.服务器日志分析
/3/29下午10:42:33MsiInstaller启动b8c.msi
/3/29下午10:42:42ESET停止服务
/3/29下午10:42:46MsiInstaller需要重新启动ESET
/3/29下午10:42:46结束b9c.msi
/3/29下午10:43:24:ESET重新配置完成
/3/29下午10:43:24MsiInstaller重新配置ESET.
/3/29下午10:43:24ESET需要系统重启
/3/29下午10:43:24ESET需要重新启动来生效更新
/3/29下午10:50:17防护墙被关闭,病毒创建访问时间为/3/:50:04
/3/29下午10:59:48BPMS开始无法读取配置文件
/3/30上午1:54:16找不到指定文件No.4
动态分析
图:扫描结果
执行文件后向以下三处复制文件
以及写入勒索信息info,打开内核对象:
AntiRecuvaAndDB.exe在注册表中给自己写入开机自启动项
运行cmd.exe写入文件
将感染文件.exe-删除
更改文件操作属性,防火墙属性设置
"netshadvfirewallsetcurrentprofilestateoff\nnetshfirewallsetopmodemode=disable"
向该地址释放文件
开始搜索UUID来对文件后缀名更改替换操作.进行加密步骤,然后删除原文件
行为审计:
C:\Users\LAB-windows\Desktop\AntiRecuvaAndDB.exeimage_base:0ximage_size:0x"C:\Users\LAB-windows\Desktop\AntiRecuvaAndDB.exe""C:\Users\LAB-windows\Desktop\AntiRecuvaAndDB.exe"image_base:0ximage_size:0x"C:\Windows\system32\cmd.exe""C:\Windows\system32\cmd.exe"image_base:0x4A87image_size:0x"C:\Windows\system32\cmd.exe""C:\Windows\system32\cmd.exe"image_base:0x4A87image_size:0xvssadmindeleteshadows/all/quietnetshadvfirewallsetcurrentprofilestateoffnetshadvfirewallsetcurrentprofilestateoffimage_base:0x0145image_size:0xnetshadvfirewallsetcurrentprofilestateoffnetshfirewallsetopmodemode=disablenetshfirewallsetopmodemode=disableimage_base:0x00E0image_size:0xnetshfirewallsetopmodemode=disable"C:\Windows\system32\cmd.exe"vssadmindeleteshadows/all/quietimage_base:0xFFE3image_size:0xDvssadmindeleteshadows/all/quietwmicshadowcopydeletewmicshadowcopydeleteimage_base:0xFFB6image_size:0x8Dwmicshadowcopydeletebcdedit/set{default}bootstatuspolicyignoreallfailuresbcdedit/set{default}bootstatuspolicyignoreallfailuresimage_base:0xFF34image_size:0x57bcdedit/set{default}bootstatuspolicyignoreallfailuresbcdedit/set{default}recoveryenablednobcdedit/set{default}recoveryenablednoimage_base:0xFF71image_size:0x57bcdedit/set{default}recoveryenabledno"C:\Windows\system32\mmc.exe""C:\Windows\system32\wbadmin.msc"deletecatalog-quiet"C:\Windows\system32\cmd.exe""C:\Windows\system32\mmc.exe""C:\Windows\system32\wbadmin.msc"deletecatalog-quietimage_base:0xFF2Fimage_size:0x0021C:\Users\LAB-windows\Desktop\AntiRecuvaAndDB.exe"C:\Users\LAB-windows\Desktop\AntiRecuvaAndDB.exe""C:\Windows\system32\mmc.exe""C:\Windows\system32\wbadmin.msc"deletecatalog-quiet
招聘启事
安恒雷神众测SRC运营(实习生)————————1.负责SRC的微博、
转载请注明:http://www.wangguoqiangq.com/sglbdl/6285.html
