当下最频发的形式,以钓鱼网站/钓鱼邮件/钓鱼文档为传播途径。点进进入页面,将自动下载木马。
Contents
样本信息
木马下载器:
文件名:setup6018.exe
MD5:2da5a13a58e66c99c0ff4fbc6f998c9e
SHA1:dd278c0821204095589f4f9c916b788a07d920c6
文件名:offic表格luck.exe
MD5:c7a6d3b866121fd43c8aca1b70e793b5
SHA1:a18bcd4c4418f7f7513e408bb3fde4e76e12fd58
被利用的白样本:
文件名:QQgames.exe
MD5:1be5b4823cea12c52f5350d7628ac32a
SHA1:c852768ec8082b04de87229ac21c72327de2458f
文件名:Overwatch.exe
MD5:b8bb284b7cd26643df6876d665fbde02
SHA1:998d87f733653d1b44b1f2359892e214faa08fce
木马:
文件名:bai.png
MD5:0a9b77193d11deb202813106f4c0f0b9
SHA1:51b32e17da130bdb8b4684761c0e833cfe990549
文件名:any.png
MD5:c5497a158a878995bb05025560ddaec2
SHA1:03428561f384b78b5109e2d318ee7af0c5e8da68
病毒衍生物:
文件名:1.dll
MD5:83ee4aec0aee28222df81a0d17331b08
SHA1:2b7469a9a80d167df3472eb0826e1f5e57af6c05
文件名:bb.jpg
MD5:6a984f9693da68b9579a8a0755591cb8
SHA1:a81cc525cc375a0d6a17ddf4f46434801d149703
文件名:active_desktop_render_x64.dll
MD5:0eb2aef9c2982aac1cab33102b5ee70b
SHA1:1dbd4bcaac88f3877cf7d515fe006c7fecf192aa
样本分析
setup6018.exe
sub_140001650
offic表格luck.exe
any.png
bai.png
该样本伪装成图片文件,实则暗藏隐匿的DLL。该载荷解密并加载名为shellcode.dll 的内存模块,通过导出函数 hanshu 执行恶意功能。
main
hanshu
huorong字符串
sub_180005D50
—
sub_1800058B0
—
—
sub_180008E70()
把360关掉
sub_180007890()
释放active_desktop_render_x64.dll
释放QQgames.exe、1.dll
设置1.dll文件属性
调整注册表键值
sub_1800076B0()
设置注册表 检查有没有游览器
sub_180008910()
sub_180008740
被利用的白文件文件说明
被利用的白样本:
文件名:QQgames.exe
MD5:1be5b4823cea12c52f5350d7628ac32a
SHA1:c852768ec8082b04de87229ac21c72327de2458f
文件名:Overwatch.exe
MD5:b8bb284b7cd26643df6876d665fbde02
SHA1:998d87f733653d1b44b1f2359892e214faa08fce
QQgames.exe
签名有效
此文件的一般利用手段是,白加黑加载黑dll,即active_desktop_render.dll
Overwatch.exe
Overwatch.exe是守望先锋应用程序,该样本按照信息是卸载程序。
签名有效
Battle.net是由Activision Blizzard运营的在线服务,也是充当游戏启动器和数字游戏商店的客户端应用程序。
此样本同时自我复制后重命名为OneDrive.exe,存在主机中。
bb.jpg
shellcode
bai.png中存在几段不同的shellcode切片,仅数据段末尾处添加的网址不同
active_desktop_render_x64.dll
shellcodeloader载入bb.jpg
检测有没有杀软,尝试关闭注册表句柄
远程线程向explorer.exe注入shellcode
发表回复