快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

XiaoBa勒索病毒变种阐发简报

概述

XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,首要以邮件,程序木马工控黑客 ,网页挂马的情势进行传播。这类病毒行使种种加密算法对文件进行加密,被感染者一般没法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被整个烧毁。

以上说明摘自百度百科,然则我阐发的这个XiaoBa变种并没有以上举动特征,无非它拥有很强的隐蔽性以及感染性,并且具有文件加密,文件删除以及挖矿三项首要功能。

样本阐发

此样本经过微步云沙箱阐发(相干链接请参见《参考链接》),确认为恶意样本

image.png

举动简图

执行简图.png

权限调整

样本运行以后,起首调整进程权限,确保本人有充足的权限进行后续的操作 

  image.png

路径判定:样本会判定当前的执行路径是否在%systemroot%\360\360Safe\deepscan目录下,要是不在此目录下则拷贝自身到此目录并执行。要是在此路径下,将会首进步先辈行一些修改体系配置相干的操作:

修改文件属性

将文件属性配置为受维护的体系文件,需要在“文件夹以及搜索选项”中取销“隐躲受维护的操作体系文件(推荐)”选项才可看到

禁用UAC

image.png

配置自启动,创建快捷方式

image.png

禁用注册表

image.png

不显示隐躲的文件

image.png

禁用文件夹以及搜素选项

image.png

创建自启动

image.png

删除SafeBoot选项

image.png

磁盘遍历

遍历磁盘,在磁盘根目录下创建autorun.inf文件,写入以下数据,尝试进行U盘感染,并且少不了的将此文件配置为隐躲

创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来重写hosts文件,重定向安全厂商网址

正题

最后创建线程,在线程函数中,XiaoBa会遍历所有文件,查找扩台甫为.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件, 针对不同的扩台甫执行不同的操作.exe,.com,.scr,.pif

重写这些文件,将自身文件写入这些文件的开头,后期要是再运行这些文件的话,就会运行ZhuDongFangYu.exe

1.png

.html,.htm

在这些文件的末尾添加挖矿脚本

.gho,.iso

对于这些文件,直接删除

2.png

一个故意思的点是这个样本的图标是360杀毒的图标,创建的文件夹名也是360,而且经过它重写的可执行程序的图标都换成了360的图标……

360.png

参考链接

https://s.threatbook.cn/report/win7_sp1_enx86_office2013/11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47/?sign=history

*

您可能还会对下面的文章感兴趣: