一、背景概述
近期,深信服安全團隊接到客戶反饋,內網中出現了大量偽造成文件夾的可疑exe文件,刪掉以後仍會反覆。經深信服安全團隊分析發現,這是一個蠕蟲病毒FakeFolder,該病毒會通過U盤及共享文件夾進行傳播,一旦主機感染了該病毒,文件系統中的文件夾都會被隱藏,取而代之的是一個偽裝的病毒文件,當用戶運行病毒文件時,也會彈出對應文件夾的窗口,因此不易被察覺;只要系統中還殘留著一個FakeFolder病毒文件,就會對主機進行反覆感染。
深信服安全團隊提取了該蠕蟲病毒文件,並對其進行了詳細的技術。
二、病毒原理
[1] 病毒首先會創建一個子進程並注入惡意代碼進行核心操作,從而避開殺軟的查殺。
[2] 子進程會釋放要給ghi.bat腳本進行主機、網絡信息的收集。
[3] 進行完以上操作後,病毒開始感染文件夾,並配和autorun.inf實現重複感染。
[4] 最後,病毒還有創建兩個定時器,定時監控註冊表實現持久化攻擊,以及定時訪問windows服務器實現偽裝。
三、病毒現象
被感染主機,系統中的文件夾全部變成了328KB的可執行文件:
病毒為一個文件夾圖標的wmimgmt.exe進程:
四、病毒母體分析
病毒使用MFC編寫,首先會進行一些初始化操作,包括:獲取system32路徑、動態獲取系統函數地址、獲取系統安裝的殺軟信息,如果沒有安裝卡巴斯基則執行後續惡意行為:
若未檢測到殺軟進程,則病毒代碼將進入到0x402DD0開始進程注入的操作。
4.1 注入環節(0x402F70 -> 0x402DD0)
該環節,病毒會讀取資源節中的惡意代碼(一個PE文件),然後以掛起狀態創建子進程,調用WriteProcessMemory將惡意PE注入子進程並恢復進程:
五、注入惡意代碼分析(0x40B070)
我們將注入的惡意代碼dump下來,分析發現,該段惡意代碼首先會判斷程序當前路徑是否為C:\ProgramData\ApplicationData或C:\Documents andSettings\All Users,如果不是,則將其拷貝到相應目錄下命名為wmimgmt.exe並運行。重複上述操作後,跳到0x40BE00執行核心惡意操作:
5.1 收集信息環節(0x40B070 -> 0x40BE00)
惡意代碼會創建3個線程,分別執行創建互斥量、遍歷磁盤、釋放病毒腳本的操作:
腳本名為ghi.bat,主要操作為獲取系統、網絡以及進程信息:
做完以上操作後,會使用DialogBoxParamA創建一個模態對話框,用於監控執行惡意功能。
5.2 定時操作環節(0x40B070 -> 0x40BE00 -> 0x40BF70)
調用SetTimer設置2個定時器,分別為10秒和30秒,定時觸發後面3個行為:
[1]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue置為0,不顯示隱藏文件及文件夾。
[2] 添加開機自啟動項HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wmi32:
[3]查詢域名“windowsupdate.microsoft.com”地址:
5.3 感染磁盤環節(0x40B070-> 0x40BE00 -> 0x40BF70 -> 0x40C460)
當初始化或者硬件設備發生改變時,回調的方式執行DialogFunc執行感染流程,感染對象為USB磁盤和網絡磁盤:
經過一系列的判斷,終於來到了感染的核心環節,病毒會創建 C:\RECUCLER\wmimgmt.exe和AuToRUn.iNf實現重複感染。wmimgmt.com為病毒的克隆體。AuToRUn.iNf的代碼如下,功能為當用戶打開文件夾時,自動執行C:\RECYCLER\wmimgmt.exe重複感染:
wmimgmt.exe病毒文件有特殊屬性,在正常情況下不會顯示出來:
最後,便是執行我們開頭見到的篡改文件夾操作,病毒先將原文件夾隱藏,然後將病毒自身克隆成文件夾的樣子,命名為“文件夾名+.exe”:
運行感染的病毒程序,會打開病毒所偽裝的文件夾,從而避免被受害者發現異常:
感染後的文件夾如下圖所示:
解決方案
深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
閱讀更多 A1d2m3i4n5 的文章
