散文網(wǎng) » 科技 »數(shù)碼 » 后門(mén)病毒利用“白加黑”躲避查殺可隨意操控用戶(hù)電腦

后門(mén)病毒利用“白加黑”躲避查殺可隨意操控用戶(hù)電腦

2023-03-20 19:20 作者:火絨安全 0人讀過(guò) | 我要投稿

近期，火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè)到一款后門(mén)病毒“Xidu“正在快速傳播，該病毒入侵電腦后，會(huì)收集計(jì)算機(jī)及用戶(hù)隱私信息、加載其他惡意模塊，并可隨時(shí)遠(yuǎn)程控制受害者電腦，對(duì)用戶(hù)構(gòu)成很大安全威脅。

火絨安全實(shí)驗(yàn)室分析，后門(mén)病毒“Xidu”入侵后會(huì)執(zhí)行來(lái)自C&C服務(wù)器下發(fā)的指令：1、收集用戶(hù)計(jì)算機(jī)信息，如QQ號(hào)、用戶(hù)名、殺毒軟件、CPU、磁盤(pán)、內(nèi)存等；2、下載執(zhí)行任意文件；3、彈出指定網(wǎng)頁(yè)。

病毒還會(huì)以插件的形式來(lái)擴(kuò)展新的惡意功能，如鍵盤(pán)記錄、瀏覽器密碼盜取等，并通過(guò)快捷方式來(lái)將自身添加到注冊(cè)表進(jìn)行持久化。更為嚴(yán)重的是，黑客可以隨時(shí)通過(guò)病毒遠(yuǎn)程控制受害者電腦，執(zhí)行任意操作。

除此之外，病毒使用了多層“白加黑”的技術(shù)來(lái)躲避安全軟件的查殺，隱蔽性很強(qiáng)?；鸾q用戶(hù)無(wú)需擔(dān)心，火絨安全產(chǎn)品可對(duì)該病毒進(jìn)行攔截、查殺。

注：“白加黑”即一種利用具有可信程序（通常帶有可信的數(shù)字簽名信息）加載惡意DLL的劫持技術(shù)，很多惡意軟件利用該技術(shù)來(lái)繞過(guò)安全軟件的主動(dòng)防御。

一、樣本分析

病毒的執(zhí)行流程，如下圖所示：

該病毒最早由 MSI安裝程序來(lái)釋放部分文件到“C:\Users\Public\Documents\NGLA\”目錄中，并執(zhí)行my7z.exe和NNN_chrome.exe，MSI相關(guān)信息，如下圖所示：

my7z.exe中會(huì)解壓bin.7z中的文件釋放出黑白文件以及shellcode，解壓密碼為：Xidu，相關(guān)代碼，如下圖所示：

bin.7z壓縮包內(nèi)容，如下圖所示：

bin.7z被解壓后，通過(guò)多層白文件來(lái)繞過(guò)殺毒軟件的查殺，MSI安裝程序會(huì)執(zhí)行白文件NNN_chrome.exe，在NNN_chrome.exe中會(huì)導(dǎo)入另一個(gè)白文件Sysinv.dll，而Sysinv.dll又導(dǎo)入了 Getinfo.dll（被劫持），最終執(zhí)行被劫持的Getinfo.dll。在Getinfo.dll中會(huì)解壓并執(zhí)行DLL_DLL.7z中的shellcode，相關(guān)代碼，如下圖所示：