1.3.钓鱼木马:通过伪装成银行网站、商场等形式,欺骗用户输入敏感信息,从而窃取用户的敏感信息;
1.4.加密木马:通过将用户的文件加密,并要求用户支付赎金才能解密,从而达到敲诈的目的;
2.远程控制的木马,它可以对目标计算机进行交互性访问(实时或非实时),可以下发相应的指令触发恶意软件的功能,也能获取目标的各种数据。其交互性是双向的(攻击者-被控制端)。
5.DarkComet主要功能:远控,对用户行为进行监控并为攻击者开启SYSTEM后门,窃取用户信息并回传窃取的信息发送给攻击者,同时还可以下载其他恶意软件。
基础分析
从下图看,该样本大小并不是很大,也没有进行数字签名。
从下图的工具分析出,该样本并没有依赖第三方的dll模块,所以主要功能实现都集中在恶意样本这个exe应用程序中。
静态基础分析是不好分析出具体的功能和数据,接下来就重点动态分析下该exe样本。
动态分析
1.基础隐藏启动
点击启动病毒样本程序后,它会先将原始的软件通过重命名为._cache_恶意样本.exe并进行设置隐藏保存,在去运行已感染病毒的exe程序。所以._cache_恶意样本.exe它是原始未感染的程序。
2.释放文件
样本启动后,将所有要释放的文件在指定路径下,进行创建文件夹然后在文件夹下释放样本文件。
3.设置自启动
通过往注册表
4.启动程序
通过执行命令调用bat文件,bat文件里面实现的是启动三个应用程序功能。
5.查询和短信轰炸
短信轰炸功能是通过设定的几个指定域名,再循环通过设定手机号码去注册域名里面的用户,然后实现短信轰炸功能。
下图是整个应用分析功能的概述小结:
功能分析
1.感染功能
2.设置隐藏文件
3.收集环境信息
4.键盘记录
通过调用SetWindowsHookExA实现钩子注入技术,进行监控键盘的输入信息并进行相对应的信息上传。
5.邮件发送
使用的是Delphi中封装好的邮件发送库,使用邮件服务器是smtp.gmail.com,它所发往的邮件目的xredlinel@gmail.com。
情报IOC
从样本中分析出xred.mooo.com它是属于危险和恶意的情报。
样本中的一个服务器ip:124.222.126.226地址,它也是被收录为威胁信息。
应对方案
一些安全小建议:
1.网络上或者社交软件上的应用程序不要乱下载或启动:
3.在运行软件安装包前,先检测下软件的大小和数字签名信息或用病毒查杀软件查杀下。
感染的修复方案(建议自动化用病毒查杀软件处理或者写程序实现):
1.通过病毒查杀软件进行查杀已感染的应用程序并修复。
2.手动方式删除注册表设置的自动启动的程序,并将进程强制关闭。
3.手动去查找Desktop、Downloads和Documents这三个目录下的所有的exe应用程序,并用工具查看是否包含EXEVSNX或EXERESX区段,如果有那么就会是被感染了,直接删除掉。(还有另外一种方式就是关闭隐藏文件功能,然后搜索关键词._cache_为前缀的应用程序,默认会先将原始的保存成这个。)