近期，火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè)到后門病毒偽裝成“36種財(cái)會(huì)人員必備技巧(珍藏版) .rar”在微信群聊中快速傳播。經(jīng)火絨工程師分析發(fā)現(xiàn)，用戶打開解壓后的.exe文件后，該病毒則會(huì)運(yùn)行，隨后執(zhí)行終止殺軟進(jìn)程、禁止殺軟自啟動(dòng)，以及操控受害者終端并執(zhí)行文件監(jiān)控、遠(yuǎn)程控制、鍵盤記錄等惡意行為，對(duì)用戶構(gòu)成很大的安全威脅。

在此，火絨工程師提醒大家時(shí)刻注意群聊中發(fā)送的陌生文件，如有必要先使用安全軟件掃描后再使用?；鸾q安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺，請(qǐng)用戶及時(shí)更新病毒庫(kù)以進(jìn)行防御。

一、樣本分析

病毒執(zhí)行流程，如下圖所示：

由于殺毒軟件Zemana的反病毒驅(qū)動(dòng)啟動(dòng)時(shí)，會(huì)根據(jù)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices中的值來刪除對(duì)應(yīng)的驅(qū)動(dòng)注冊(cè)表項(xiàng)，黑客利用這一特性，在病毒啟動(dòng)后向該注冊(cè)表位置中寫入其他殺毒軟件的驅(qū)動(dòng)注冊(cè)項(xiàng)名，來刪除其他殺毒軟件的驅(qū)動(dòng)注冊(cè)項(xiàng)，如下圖所示：

會(huì)被刪除的驅(qū)動(dòng)列表，如下圖所示：

釋放并加載ZAM殺軟驅(qū)動(dòng)，相關(guān)代碼，如下圖所示：

之后再利用該驅(qū)動(dòng)的接口來終止其他殺毒軟件進(jìn)程，相關(guān)代碼，如下所示：

通過鏡像劫持功能，禁止殺毒軟件進(jìn)程啟動(dòng)，火絨劍監(jiān)控到的行為，如下圖所示：

等禁用殺毒軟件之后，會(huì)從C&C服務(wù)器獲取對(duì)應(yīng)的配置文件，根據(jù)配置文件下載Loader模塊，相關(guān)代碼，如下所示：

根據(jù)配置信息下載Loader模塊CMO03.exe到C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\目錄下并執(zhí)行，火絨劍監(jiān)控到的行為，如下圖所示：

該模塊從資源中解密，并執(zhí)行shellcode1，相關(guān)代碼，如下圖所示：

在shellcode1中會(huì)從C&C服務(wù)器接收、執(zhí)行shellcode2，相關(guān)代碼，如下圖所示：

在shellcode2中會(huì)內(nèi)存加載后門模塊，相關(guān)代碼，如下圖所示：

該后門模塊具備各種惡意功能如：鍵盤記錄、文件竊取、遠(yuǎn)程控制等惡意功能，以下對(duì)一些較為重要的惡意代碼進(jìn)行舉例說明， 遠(yuǎn)程控制相關(guān)代碼，如下圖所示：

執(zhí)行C&C服務(wù)器下發(fā)的程序，相關(guān)代碼，如下圖所示：

鍵盤記錄，相關(guān)代碼，如下圖所示：

二、附錄

C&C：

HASH：