吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.mlqcje.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 8226|回復: 96
上一主題 下一主題

[PC樣本分析] 火絨安全警報: 新型宏病毒通過Excel傳播 暗刷2345網站牟利

  [復制鏈接]
跳轉到指定樓層
樓主
此生長唸 發表于 2019-6-21 16:50 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 此生長唸 于 2019-6-21 16:52 編輯

【快訊】火絨安全團隊發出警告,近日,一批新型宏病毒正通過Excel文件傳播,該病毒入侵電腦運行后,會悄悄訪問帶有推廣計費名的2345網址暗刷流量,并且還會感染電腦上其它的Excel文件,然后通過這些文件傳播給其它電腦,被感染的Excel文件打開后會出現"安全警告 宏已被禁用"的提示。

分析顯示,該病毒會調用IE瀏覽器來訪問帶有推廣計費名的2345導航網址。而且,該病毒異常狡猾,為了提升自己的隱蔽性,在刷流量前會先檢測用戶是否開啟IE瀏覽器進程。如果沒有,則主動開啟微軟官方頁面,讓用戶誤把病毒刷流量的進程當成官方頁面進程,從而避免被關閉。
火絨工程師提醒大家,由于Excel文件是工作、學習中常用文件,極易導致該病毒在公司、學校等范圍內快速傳播,請廣大用戶及時做好防范工作。火絨用戶無需擔心,火絨產品最新版即可查殺該病毒。


附【分析報告】:
一、樣本分析
近期,火絨截獲到一批宏感染型樣本,該病毒運行后會隱藏訪問帶有推廣計費名的2345導航網址暗刷流量,并且還會感染其他Excel工作簿文件。被感染文檔打開后,都會出現如下圖所示:

被感染文檔
被感染文檔中會出現宏病毒代碼,如下圖所示:
  
病毒宏代碼
該病毒為了提高自身隱蔽性,在暗刷流量前還會檢測IE瀏覽器進程是否存在,如果不存在則會先啟動微軟office官方頁面(https://products.office.com/zh-CN/),通過此方法讓用戶誤以為暗刷流量的IE瀏覽器進程與剛剛被啟動的IE瀏覽器有關。在準備工作完成后,病毒代碼會通過ActiveX對象調用IE瀏覽器訪問帶有推廣計費名的2345導航網址。因為通過這種方式被宏腳本調用的其他程序啟動時都是隱藏的,所以普通用戶不會有所察覺。相關代碼,如下圖所示:
  
暗刷流量相關代碼
暗刷流量時的進程樹,如下圖所示:
  
進程樹
通過窗體控制工具可以顯示IE瀏覽器窗體,如下圖所示:
  
暗刷流量的IE瀏覽器窗體
病毒感染相關代碼執行后,會先在XLSTART目錄下創建名為authorization.xls的Excel文檔,并將病毒代碼前100行插入到該文檔的宏模塊中,之后續追加的病毒函數調用代碼,使authorization.xls主要為用來感染其他Excel文檔。authorization.xls被創建后,所有被啟動的Excel文檔都會加載執行該宏病毒代碼。相關代碼,如下圖所示:
  
在XLSTART目錄中釋放病毒宏文檔

在XLSTART目錄中被創建的病毒Excel文檔
當有其他Excel文檔被打開時,如果當前文檔ThisWorkbook宏模塊前10行中存在"update"、"boosting"、"person"關鍵字,則會將ThisWorkbook宏模塊中的原始代碼刪除,刪除行數與病毒代碼行數相同。之后,將病毒宏代碼前100行插入到ThisWorkbook宏模塊中,再加入相關調用代碼。被追加的調用代碼決定被感染的Excel主要會釋放authorization.xls、暗刷流量。相關代碼,如下圖所示:
  
感染代碼

二、附錄
樣本hash:

免費評分

參與人數 34吾愛幣 +33 熱心值 +34 收起 理由
52lxw + 1 + 1 我很贊同!
fei8255 + 1 + 1 用心討論,共獲提升!
魚先生 + 1 + 1 2345太流氓了吧
railgunsaber + 1 + 1 [email protected]
Ldf9522 + 1 + 1 [email protected]
lookerJ + 1 + 1 熱心回復!
tnnd040868 + 1 + 1 我很贊同!
漢庭劶 + 1 + 1 我很贊同!
hhTron + 1 + 1 [email protected]
fangchang819 + 1 + 1 [email protected]
lp-cg + 1 + 1 2345這個大毒瘤!
小文七落 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
靜葉流云 + 1 + 1 用心討論,共獲提升!
justicemickey + 1 + 1 [email protected]
tte + 1 + 1 用心討論,共獲提升!
siuhoapdou + 1 + 1 [email protected]
夏之天狼星 + 1 + 1 [email protected]
禾水木 + 1 + 1 [email protected]
yyx55520 + 1 + 1 抗爭到底
識趣灬 + 1 + 1 我很贊同!
卡拉肖克倩 + 1 + 1 越來越流氓了
純粹520 + 1 我很贊同!
老白啊 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
xiaojiang_320 + 1 + 1 狗幣2345咋越來越厲害了,沒人管管他們嗎
戰歌酒吧 + 1 + 1 [email protected]
葉櫻楓 + 1 + 1 [email protected]
Mr.Eleven + 1 + 1 [email protected]
古或郎 + 1 + 1 用心討論,共獲提升!
dglaobing + 1 + 1 這個網址舉報了嗎
www.mlqcje.live + 2 + 1 2345簡直就是個毒瘤
pandore + 1 + 1 [email protected]
Shostakovich + 1 + 1 我很贊同!
hst520520 + 1 + 1 我很贊同!
獨行風云 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
stopit 發表于 2019-6-24 08:41
謝謝樓主,真的學習到了,沒進壇子之前,電腦總是被莫名的安裝各種軟件,但是類似金山毒霸之類的殺毒軟件根本查不出來,也沒有任何提示,現在明白了。不過火絨真的不錯,之前安裝毒霸電腦卡的類似死機狀,辦公效率低的嚇人。
沙發
ly221306 發表于 2019-6-21 16:57
前排圍觀大佬! 還好我安裝的火絨沒有提示有此類病毒,感謝分享
3#
JuncoJet 發表于 2019-6-21 17:11
4#
MIVIP 發表于 2019-6-21 17:28
火絨感覺還不錯
5#
diwang2580 發表于 2019-6-21 17:30
我沒看錯火絨,一直都看好
6#
惟藍夢醉 發表于 2019-6-21 17:47
火絨這么強大的嗎?


7#
yis 發表于 2019-6-21 17:58
2345太流氓了  MD  卸載都卸載不掉的
8#
2016凱凱 發表于 2019-6-21 18:29
本帖最后由 2016凱凱 于 2019-6-21 18:33 編輯

火絨牛皮
9#
201 發表于 2019-6-21 18:33
支持,一直都在用火絨
10#
你看電視吧 發表于 2019-6-21 18:37
支持,一直都在用火絨
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-7-19 21:03

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
内蒙古11选5开奖查询百度