您的位置:首页 > 菜鸟学院 > “PDF文件”内藏乾坤:木马也用云技术

“PDF文件”内藏乾坤:木马也用云技术

来源:互联网 | 时间:2015-02-27 17:56:00 | 阅读:158 |    | 分享到:

近期,我们在下载一份PDF文件时发现一枚简单的恶意Downloader(一种病毒类型)。与其他恶意加载器不同,该恶意软件在其二进制中加入了PE Loader。

肉鸡上线了?

一旦执行,加载器就会抓取本地用户的系统信息,然后生成一个URL,最后连接到一个服务器。

“PDF文件”内藏乾坤:木马也用云技术

在上面的实例中,AVA****5(第一个被遮挡部分)是受害者的计算机名。紧接着后面的51-SP是系统的版本。

分析李鬼

加载器下载的这个文件虽然是PDF的后缀,但是文件中的内容却与PDF文件大相径庭。

“PDF文件”内藏乾坤:木马也用云技术

这个加载器将0x74E7E1C8嵌入这个虚假的PDF文件中来进行掩饰。解密过后,如果长度和整个虚假PDF相同,那么加载器检测offset 0×12双字节的值。如果其与硬编码的签名0x2E0F1567 相同,那么就检测位于offset 4的另外一个双字节值。

“PDF文件”内藏乾坤:木马也用云技术

加载器引导代码调用云端加载器

“PDF文件”内藏乾坤:木马也用云技术

在上面的代码中,esi中包含了“PDF文件”的起始偏移地址,call eax实际将执行云端的加载器

“PDF文件”内藏乾坤:木马也用云技术

我们可以看出offset 0×1134是RtlDecompressBuffer API的地址,调用API后,这个恶意PE文件就会出现,然后云端加载器使用一个小技巧来检测MZ Header Signature。

在我们的分析过程中,我们发现这个恶意软件在下载其他一些不同的恶意软件,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.

总结


为何这个恶意软件会将加载器从其二进制文件中移除呢?我们认为,这款恶意软件是为了帮助攻击者精减目标,同时云端加载器也方便恶意软件作者在以后添加更多的功能。

好特网发布此文仅为传递信息,不代表好特网认同期限观点或证实其描述。

相关视频攻略

更多

扫二维码进入好特网手机版本!

扫二维码进入好特网微信公众号!

本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件[email protected]

湘ICP备2022002427号-10 湘公网安备:43070202000427号© 2013~2024 haote.com 好特网