GandCrab传播新动向——五毒俱全的蠕虫病毒技术分析V1.1

访客4年前黑客文章1227

近日,360终端安全实验室监控到GandCrab勒索病毒有了新动向,和以往相比本次GandCrab传播量有了明显的波动,我们分析了背后原因,发现此次波动是由一种近年较常见的蠕虫病毒引起的,该蠕虫病毒主要通过U盘和压缩文件传播,一直活跃在包括局域网在内的众多终端上。该蠕虫病毒构成的僵尸 *** ,过去主要传播远控、窃密、挖矿等木马病毒,而现在开始投递GandCrab勒索病毒。由于该病毒感染主机众多,影响较广,因而造成了这次GandCrab的传播波动。在此特提醒大家注意保护好您的数据,当心被勒索病毒袭击从而遭受不可挽回的损失。
我们对该蠕虫病毒的最新变种进行了深入分析。病毒的母体和以往相比没有太大变化,其主要特别之处在于其投递的病毒种类有了新变化,除了新增投递GandCrab勒索病毒外,还发现该病毒的初次投放方式,也即病毒 *** 者是怎么投放病毒的。一般病毒的初次投放方式包括挂马、捆绑下载、邮件附件、租用僵尸 *** 、漏洞利用等,而这次该病毒使用了邮件附件作为其初次投放传播的手段之一。
下面首先就其主要技术特点概括如下:
病毒代码具有风格统一的混淆方式,通过内存解密PE并加载执行来绕过杀软的静态扫描查杀,病毒的母体具有一定反沙箱反分析能力;
具备多种传播方式,包括投递恶意邮件、感染Web/FTP服务器目录、U盘/ *** 磁盘传播、感染压缩文件等;
窃取多种虚拟货币钱包,包括:Exodus、JAXX、MultiBit HD、Monero、Electrum、Electrum-LTC、BitcoinCore等多种货币钱包;
通过劫持Windows剪贴板,替换多种主流虚拟货币钱包地址,包括: *** C、ETH、LTC、XMR、XRP、ZEC、DASH、DOGE等币种;
窃取邮箱账号、Web网站登录账号、WinSCP凭据、Steam游戏平台账号、以及多种即时通讯软件聊天记录;
下载传播多种病毒,包括勒索、窃密、挖矿、母体传播模块等,其母体内嵌的下载链接主要固定为5种,正好印证了“五毒俱全”的特点;
 
病毒攻击流程
201812114416947.png
 
病毒详细分析
母体DownLoader分析
探测虚拟机/沙箱运行环境
病毒母体是一个DownLoader,运行时通过遍历进程以及检查加载的模块来探测运行环境是否是虚拟机或沙箱环境,其中特别针对python进程进行了检查(沙箱常用),还通过检查加载的DLL模块来检测sandboxie或sys *** yzer:
201812114416363.png
持久化设置
病毒会将自身拷贝至windows\自建目录\winsvcs32.exe,并创建注册表开机启动项实现持久化运行:
201812114416787.png
拷贝并重命名为winsvc32.exe
201812114416691.png
创建注册表开机启动项
201812114416861.png
删除自身的Zone.Identifier NTFS Stream避免运行时出现风险提示
添加防火墙例外以及关闭Windows Defender实时防护等功能
201812114417153.png
防火墙以及Windows Defender相关设置
通过可移动磁盘/ *** 磁盘进行AUTORUN传播
201812114417898.png
针对 *** 磁盘以及可移动磁盘
201812114417519.png
在U盘根目录创建”_”目录以及将自身拷贝并重命名为DeviceManager.exe
201812114417614.png
创建指向病毒母体的lnk文件
201812114417263.png
Lnk文件内容
201812114417547.png
被感染后的U盘以及AutoRun.inf截图
通过感染压缩包进行传播
判断%appdata%\winsvcs.txt是否存在,不存在则创建该文件,该文件起到一个开关作用,用来判断是否对压缩文件进行感染:
201812114417652.png
将自身拷贝至%TEMP%目录,并重命名为“Windows Archive Manager.exe”:
201812114417504.png
遍历本地磁盘中的压缩文件,将病毒本体添加到压缩文件,受感染的压缩类型包括zip、rar、7z、tar:

相关文章

武当山在哪(国内有7个武当山)

武当山大名鼎鼎,在我国名山大川中占据非常重要的地位,玄天真武大帝、太极张三丰都和它有关。若问起武当山来,估计无人不知,一般都知道武当山在湖北,殊不知在国内武当山并不止湖北一处,在湖北、河北、江西、甘肃...

网上有能查询领导和其他女人聊天记录

给宝宝换尿布是件非常麻烦的事,宝宝不听话话喜欢乱动是一方面,给宝宝勤换尿布才能保证宝宝皮肤的舒适度,那么夜里需要给宝宝换尿布吗,下面友谊长存小编就来和大家说一说。 关于新生儿常见的问题 生宝宝晚上...

web前端黑客技术(Web前端黑客技术揭秘)

web前端黑客技术(Web前端黑客技术揭秘)

本文目录一览: 1、黑客要学web前端吗 2、《Web前端黑客技术揭秘》《白帽子讲Web安全》好难,怎么读 3、web前端开发面临的挑战主要是有哪些? 4、《Web前端黑客技术揭秘》epu...

怎么查老公在哪开过房(抓老公出轨最简单的办法)

如何查询丈夫在哪儿开过房(抓丈夫出轨非常简单的方法)最好是不必,那样谁都下不了台,对大家的婚姻生活不好,要好好地沟通交流渐渐地把他的心吸引住回家!我明白丈夫和情人开过房他便是不承认该怎么办即然知道,不...

计算机教学视频,怎么找黑客的联系方,怎么找黑客黑掉微信公众号

有些网管喜爱对Access数据库进行加密,认为这样一来就算黑客得到了数据库也需求暗码才干翻开。 但现实正好相反,因为Access的加密算法太 软弱,所以黑客只需随意到网上找一个破解Access数据库暗...

学校附近做什么生意最好(20个适合学校门口的生意全揭秘)

学校附近做什么生意最好(20个适合学校门口的生意全揭秘)

招商帮:我们都知道,在学校门口做生意一般客源比较稳定,而且大多都是学生、老师和家长,消费水平也比较低,所以很适合一些初期想要创业的朋友们。相信每个人都经历过学生时期,也知道在学校门口一出来看到卖各种各...