警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

栏目: 编程工具 · 发布时间: 5年前

内容简介:腾讯安全御见威胁情报中心发现附带H-worm蠕虫病毒变种的钓鱼邮件攻击。攻击者参考VBS蠕虫病毒H-worm代码制作JS版本变种,并将其打包为压缩文件,之后伪装成某电影特效制作公司向攻击目标邮箱投递包含病毒附件的邮件。目标用户不慎打开附件中的压缩文件,H-worm蠕虫变种会立即执行,病毒会连接远程服务器接收指令对中毒电脑进行远程控制。H-worm蠕虫病毒还会通过在U盘、移动硬盘等可移动存储设备上创建大量指向病毒的Lnk文件,从而通过移动存储设备在目标网络中横向传播扩散。

一、背景

腾讯安全御见威胁情报中心发现附带H-worm蠕虫病毒变种的钓鱼邮件攻击。攻击者参考VBS蠕虫病毒H-worm代码制作JS版本变种,并将其打包为压缩文件,之后伪装成某电影特效制作公司向攻击目标邮箱投递包含病毒附件的邮件。目标用户不慎打开附件中的压缩文件,H-worm蠕虫变种会立即执行,病毒会连接远程服务器接收指令对中毒电脑进行远程控制。

H-worm蠕虫病毒还会通过在U盘、移动硬盘等可移动存储设备上创建大量指向病毒的Lnk文件,从而通过移动存储设备在目标网络中横向传播扩散。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

钓鱼邮件传播H-worm蠕虫变种流程

二、详细分析

攻击者伪造了来自日本某公司的发件邮件信息。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

邮件中提示参阅附件VPO0918001.zip,并提到付款相关信息。同时还说明了需要提供电影样本、制造以及定制设计等内容。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

当我们尝试打开邮件伪造的发件邮箱地址时,发现该地址的确是一家从事电影及音乐短片制作的日本公司。这表明出黑客在攻击前,特意搜集了发邮件时需要用到的伪造公司的信息,进而在攻击过程中构造与该公司相关的邮件内容,以此来迷惑被攻击对象,诱惑其打开邮件附件。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

邮件附件文件VPO0918001.zip,该文件解压后释放VPO0918001.js,后续分析可知VPO0918001.js是完全由JS脚本实现的远控木马。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

VPO0918001.js经过混淆和base64编码,执行前需要解混淆。首先通过正则匹配将代码中的“%@>”替换为“A”,然后将替换后的代码通过base64解码,得到最终要执行的代码。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

解密后的代码分成两个部分,一部分为释放子木马lkdsUaKrEM.js到%appdata%目录下并启动执行,另一部分为JS远控代码主体。释放的子木马lkdsUaKrEM.js与母体木马代码逻辑比较相似。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

VPO0918001.js

远控代码开头,初始化信息,包括上线地址、端口等。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

查询安图高级威胁溯源系统可以看到服务器bedahogs.100chickens.me对应的IP为178.239.21.37,地址位于波黑。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

然后执行instance函数进行持久化,首先根据注册表HKEY_LOCAL_MACHINE\\software\\中是否存在与脚本名相同的项目,来判断是否已经感染,并将该值记录到usbspreading,表示感染U盘。若不存在对应的注册表项则重新写入。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

然后在instance中调用upstart将JS脚本木马写入注册表Run启动项(HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\),并将木马文件复制到安装目录(%appdata%或%temp%),

以及全局启动项目录startup(C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

完成持久化之后,进入木马主体,在一个大while循环中不断执行安装操作和询问服务器(发送参数“is-ready”),并根据服务器返回的不同指令执行各类动作。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

在安装函数install中对系统中的移动磁盘进行感染,包括U盘或移动硬盘等移动存储设备都会被植入木马。感染时首先枚举drivers,找出类型为“1”的磁盘(可移动盘),然后将木马文件复制到该盘根目录下,然后枚举该盘中的所有文件及文件夹,使用每个文件或文件夹的名字生成快捷方式,并将快捷方式启动对象设置为木马文件。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

感染效果如下:

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

打开每个lnk内容为:

C:\windows\system32\cmd.exe /c start VPO0918001.js
&start explorer *****&exit

感染完成后向服务器发送“is-ready”命令,等待服务器返回指令。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

木马接收服务器共23个远控指令对肉鸡进行完全控制,功能包括断开连接、重启、关机、搜集密码、上传日志、下载执行程序、启动各类插件、执行cmd命令、枚举进程、启动键盘记录程序等,指令及对应功能整理如下:

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

搜集系统信息

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

搜集反病毒产品信息

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

搜集浏览器、邮箱中使用的登录密码

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

开启键盘记录

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

下载执行程序

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

执行 shell 命令(cmd)

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

枚举进程

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

lkdsUaKrEM.js

邮件附件压缩包中投递的木马VPO0918001.js除了执行自身的恶意功能外,还会释放子木马lkdsUaKrEM.js,子木马被释放到%appdata%目录,大小只有36K,执行后拷贝自身到全局启动目录,具有与母体相似的功能例如持久化、远控、感染移动设备。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

采用与母体同样的混淆方式,执行时会进行还原。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

与母体相同的远控功能不再进行分析,不同的地方是,子木马中包含作者的skype信息:“live:unknown.sales64”,但是不能确定传播该木马和制作该木马的黑客为同一个人。另外子木马中的控制端上线地址与母体不同,为brothersjoy.nl,端口为6789。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

而通过对比发现,该木马的代码与其他厂商早期发现的h-worm蠕虫病毒有较大相似之处,推测此次攻击中黑客参考h-worm病毒制作了木马,并且将病毒实现语言由VBS脚本修改为JS脚本。

警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马

三、安全建议

1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;

2、对于已中招用户,除了使用杀软清理“H-worm”病毒外,还可手动做以下操作:

删除文件:

%appdata%\ VPO0918001.js

%temp%\VPO0918001.js

%appdata%\ lkdsUaKrEM.js

%temp%\ lkdsUaKrEM.js

C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VPO0918001.js

C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lkdsUaKrEM.js

删除注册表项:

HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\VPO0918001.js

HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\lkdsUaKrEM.js

IOCs

Domain

brothersjoy.nl

bedahogs.100chickens.me

C&C

brothersjoy.nl:6789

bedahogs.100chickens.me:4441

md5

2908aea37739687ddf8c2e8153acd492

c66d257c78ecece9da26183be4935b58

f03019a53ce55fe08d02fc0c0f105f56

参考资料:

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/java-vbs-joint-exercise-delivers-rat/

https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-h-worm.html


以上所述就是小编给大家介绍的《警惕H-worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会中远控木马》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

游戏编程中的人工智能技术

游戏编程中的人工智能技术

布克兰德 / 吴祖增 / 清华大学出版社 / 2006-5 / 39.0

《游戏编程中的人工智能技术》是人工智能游戏编程的一本指南性读物,介绍在游戏开发中怎样应用遗传算法和人工神经网络来创建电脑游戏中所需要的人工智能。书中包含了许多实用例子,所有例子的完整源码和可执行程序都能在随书附带的光盘上找到。光盘中还有不少其他方面的游戏开发资料和一个赛车游戏演示软件。 《游戏编程中的人工智能技术》适合遗传算法和人工神经网络等人工智能技术的各行业人员,特别是要实际动手做应用开......一起来看看 《游戏编程中的人工智能技术》 这本书的介绍吧!

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具