<track id="kmm1t"></track>
  • <tt id="kmm1t"><noscript id="kmm1t"><label id="kmm1t"></label></noscript></tt>

    <cite id="kmm1t"><form id="kmm1t"></form></cite>
    <rp id="kmm1t"></rp>
    <rt id="kmm1t"></rt>
    <track id="kmm1t"><menuitem id="kmm1t"><em id="kmm1t"></em></menuitem></track>

    <b id="kmm1t"><noscript id="kmm1t"><ol id="kmm1t"></ol></noscript></b><rt id="kmm1t"><menuitem id="kmm1t"><option id="kmm1t"></option></menuitem></rt>
    <rt id="kmm1t"><menuitem id="kmm1t"><strike id="kmm1t"></strike></menuitem></rt>
  • <video id="kmm1t"><menuitem id="kmm1t"><strike id="kmm1t"></strike></menuitem></video><video id="kmm1t"></video>

    <b id="kmm1t"></b><u id="kmm1t"></u>
    漏洞分析|中新網安安全實驗室“電子新冠病毒”【DesktopLayer樣本】分析報告(下)

    功能描述:

    每分鐘向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中寫入 16 字節的數據,前8字節為系統時間,接著是 4 字節數據是兩次連通特定網站的時間差, 最后 4 字節數據始終為 0

    獲取系統時間信息

    blob.png 

    (3-4-4):Thread4(ThreadFunction:2001790C)

    功能描述:

    每10分鐘向 "fget-career.com的443端口" 發送當前系統時間信息以及含有本機信息的字符串,并接收 "fget-career.com" 發回的數據。

    解析 "fget-career.com" 的網址

    blob.png  

    和 "fget-career.com" 的 443 端口建立連接

    blob.png 

    本機和遠程服務器的數據交互過程

    blob.png  

    (3-4-5):Thread5(ThreadFunction:20016EA8)

    功能描述:

    對 DRIVE_FIXED 類型的磁盤上的 .exe、.dll、 .html、 .htm:四種文件進行感染。

    獲取系統目錄和Windows目錄,以便在全盤遍歷文件的時候避開這兩個目錄的文件

    blob.png 

    獲取所有的磁盤盤符,以便全盤遍歷

    blob.png  

    檢查磁盤類型是不是DRIVE_FIXED,如果是則深度優先遍歷磁盤文件

    blob.png 

    深度優先遍歷磁盤文件

    blob.png 

    //感染前先通過文件名排除三種文件(".."、"." 和 "RMNetwork")

    blob.png  

    //查看文件中是否有按名稱導入"LoadLibraryA"和 "GetProcAddress" ,有的話獲取對應的 IAT RVA

    blob.png 

    //查看節表之后是否還有一個空節表的空間可用,如果有就添加一個新節,并修改原來的程序入口點

    blob.png  

    blob.png  

    //向文件中寫入一個PE文件,該PE文件在被感染文件運行時會被釋放出來

    blob.pngblob.png 

    Desktopla<x>yer是一種有害的惡意軟件感染5295.png

    .exe和.dll文件的感染流程

     

    Desktopla<x>yer是一種有害的惡意軟件感染5314.png

    被感染后的.exe和.dll 文件的行為

      在分析被感染后的文件執行流程時得知在 新添加節的節內偏移的 0X328H處存放著程序現在入口點和原入口點的差值(DWORD 類型),該值即是修復入口點的依據。

     

    .html 和 .htm 文件的感染過程

    blob.pngblob.png

    Desktopla<x>yer是一種有害的惡意軟件感染5446.png

    .html和.htm文件的感染流程

    (3-4-6):Thread6(ThreadFunction:20016EC2)

    功能描述:

    每10秒鐘遍歷一次所有磁盤,當磁盤類型為可移動磁盤時,對該磁盤進行感染,已達到借助可移動磁盤對該樣本進行傳播的目的。

    檢查磁盤上是否有 "autorun.inf" 文件

    blob.png  

    如果已經有“autorun.inf”文件,則通過對該文件的判斷來驗證該可移動磁盤是否被感染過

    blob.png 

    該可移動磁盤沒有被感染過時,執行以下操作

    在可移動磁盤根目錄創建“RECYCLER”文件夾并設置屬性為HIDDEN

    blob.png 

    子文件下創建.exe 文件,并將DeskToplayer.exe文件的內容寫入

    blob.png  

    在根目錄創建"autorun.inf"文件并寫入數據

    blob.png  

    blob.png  

    blob.pngblob.png  

    blob.png

    Desktopla<x>yer是一種有害的惡意軟件感染5799.png

    對可移動磁盤的感染過程

    三.清理方式

    1. 使用字符串"KyUffThOkYwRRtgPP" 創建互斥體,如果互斥體已經存在,說明已經有樣本在運行,此時需要遍歷系統所有進程,查找名稱為"Desktoplayer "和"iexplore "的進程:

    對于"Desktoplayer "進程:直接結束;

    對于"iexplore "進程:如果進程空間的 20010000 地址為有效地址,則直接結束進程,同時刪除iexplore目錄下的  dmlconf.dat文件。

    2. 依次在 1:"C:\Program Files\ ";

       2:"C:\Program Files\Common Files\ ";

           3:"C:\Documents and Settings\Administrator\ ";

           4:"C:\Documents and Settings\Administrator\Application Data\ ";

           5:"C:\WINDOWS\system32\ ";

           6:"C:\WINDOWS\ ";

           7:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\";

    目錄下查找"Microsoft"目錄,如果找到該目錄,則刪除該目錄及目錄下的"Desktoplayer.exe"文件。

    3. 讀取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

    CurrentVersion\Winlogon的Userinit 的鍵值,并判斷鍵值內容的最后一個啟動項中是否包含"desktoplayer.exe",如果包含,則刪除最后一個啟動項。

     

    4. 遍歷全盤文件,進行查殺:

    對于 DISK_FIXED類型的磁盤,在遍歷時可以避開系統目錄和Windows目錄,對于EXE文件,如果文件MD5和特征文件的MD5匹配,則直接刪除;

    對于EXE、DLL,如果節表中含有".rmnet"節,則可判定文件已經被感染,可由用戶決定是刪除文件還是修復文件(修復辦法:刪除".rmnet"節并修復入口點);對HTML、HTM文件,可以通過文件最后9 字節內容是否是"</script>"來判斷文件是否被感染,文如果文件已被感染,則由用戶決定是刪除文件還是修復文件(修復辦法:刪除文件"<script Language=vbscript>"之后的內容)。

    對于 DISK_REMOVABLE類型的磁盤,如果磁盤根目錄有 "autorun.inf"文件且文件頭3字節內容為"RmN",則可判定該磁盤已經被感染,需要從該文件總提取住exe文件的路徑,然后先刪除"autorun.inf"文件,再刪除

    exe 文件。

    真人少妇高潮a一级
    <track id="kmm1t"></track>
  • <tt id="kmm1t"><noscript id="kmm1t"><label id="kmm1t"></label></noscript></tt>

    <cite id="kmm1t"><form id="kmm1t"></form></cite>
    <rp id="kmm1t"></rp>
    <rt id="kmm1t"></rt>
    <track id="kmm1t"><menuitem id="kmm1t"><em id="kmm1t"></em></menuitem></track>

    <b id="kmm1t"><noscript id="kmm1t"><ol id="kmm1t"></ol></noscript></b><rt id="kmm1t"><menuitem id="kmm1t"><option id="kmm1t"></option></menuitem></rt>
    <rt id="kmm1t"><menuitem id="kmm1t"><strike id="kmm1t"></strike></menuitem></rt>
  • <video id="kmm1t"><menuitem id="kmm1t"><strike id="kmm1t"></strike></menuitem></video><video id="kmm1t"></video>

    <b id="kmm1t"></b><u id="kmm1t"></u>