主页 > imtoken钱包苹果版怎么用 > 首次在中国出现的CTB-Locker“比特币勒索者”病毒分析
首次在中国出现的CTB-Locker“比特币勒索者”病毒分析
3. 技术细节
示例攻击流程如下:
第 1 步:将病毒样本作为电子邮件附件发送
第二步:
病毒使用大量垃圾指令阻碍样本分析,最终在内存中扩展第三步使用的PE文件。
循环解密,写入动态请求的内存
解密完成后,跳转到动态申请的内存,执行解密后的代码
动态获取系统API
再次申请内存,自己解密,在内存中动态扩展第三步用到的病毒
第三步:
从获取自身资源,释放执行RTF文件,让用户误以为文档被打开
RTF文件内容如下:
接下来,示例尝试访问 windowsupdate.microsoft.com 以确定用户是否可以连接到 Internet。
如果可以联网,会循环读取下载列表,下载加密文件
下载列表如下:(部分链接已无法访问)
解密pack.tar.gz得到第四步用到的病毒。
第四步:
使用和之前类似的方法,动态解密自己,在内存中展开一个新的PE文件,并将这个文件打包,目的还是为了阻碍分析。
代码还原后,内存中就可以得到第五步需要的病毒了。
第五步:
最后的勒索功能在第五步实现。
运行后会把自己复制到temp目录下,并创建定时任务实现自启动。
远程向 svchost.exe 注入恶意代码
判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程的目的是阻碍分析,增加触发病毒代码的条件。
遍历用户的所有文件,包括硬盘、U盘、网络共享等。
判断用户文件格式是否符合感染目标,共114个文件作为病毒感染目标
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
海湾,混合比特币病毒,cdr,crw,dcr,dng比特币病毒,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu, bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
根据电脑启动时间、文件创建、修改、访问时间等信息,为随机种子生成KEY。 ZLIB压缩文件后进行AES加密:
最后修改受害者的壁纸以显示勒索信息: