近期,我们在下载一份PDF文件时发现一枚简单的恶意Downloader(一种病毒类型)。与其他恶意加载器不同,该恶意软件在其二进制中加入了PE Loader。
肉鸡上线了?
一旦执行,加载器就会抓取本地用户的系统信息,然后生成一个URL,最后连接到一个服务器。
在上面的实例中,AVA****5(第一个被遮挡部分)是受害者的计算机名。紧接着后面的51-SP是系统的版本。
分析李鬼
加载器下载的这个文件虽然是PDF的后缀,但是文件中的内容却与PDF文件大相径庭。
这个加载器将0x74E7E1C8嵌入这个虚假的PDF文件中来进行掩饰。解密过后,如果长度和整个虚假PDF相同,那么加载器检测offset 0×12双字节的值。如果其与硬编码的签名0x2E0F1567 相同,那么就检测位于offset 4的另外一个双字节值。
加载器引导代码调用云端加载器
在上面的代码中,esi中包含了“PDF文件”的起始偏移地址,call eax实际将执行云端的加载器
我们可以看出offset 0×1134是RtlDecompressBuffer API的地址,调用API后,这个恶意PE文件就会出现,然后云端加载器使用一个小技巧来检测MZ Header Signature。
在我们的分析过程中,我们发现这个恶意软件在下载其他一些不同的恶意软件,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.
总结
为何这个恶意软件会将加载器从其二进制文件中移除呢?我们认为,这款恶意软件是为了帮助攻击者精减目标,同时云端加载器也方便恶意软件作者在以后添加更多的功能。