freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“PDF文件”内藏乾坤:木马也用云技术
2015-02-26 14:11:00

近期,我们在下载一份PDF文件时发现一枚简单的恶意Downloader(一种病毒类型)。与其他恶意加载器不同,该恶意软件在其二进制中加入了PE Loader。

肉鸡上线了?

一旦执行,加载器就会抓取本地用户的系统信息,然后生成一个URL,最后连接到一个服务器。

在上面的实例中,AVA****5(第一个被遮挡部分)是受害者的计算机名。紧接着后面的51-SP是系统的版本。

分析李鬼

加载器下载的这个文件虽然是PDF的后缀,但是文件中的内容却与PDF文件大相径庭。

这个加载器将0x74E7E1C8嵌入这个虚假的PDF文件中来进行掩饰。解密过后,如果长度和整个虚假PDF相同,那么加载器检测offset 0x12双字节的值。如果其与硬编码的签名0x2E0F1567 相同,那么就检测位于offset 4的另外一个双字节值。

加载器引导代码调用云端加载器

在上面的代码中,esi中包含了“PDF文件”的起始偏移地址,call eax实际将执行云端的加载器

我们可以看出offset 0x1134是RtlDecompressBuffer API的地址,调用API后,这个恶意PE文件就会出现,然后云端加载器使用一个小技巧来检测MZ Header Signature。

在我们的分析过程中,我们发现这个恶意软件在下载其他一些不同的恶意软件,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.

总结

为何这个恶意软件会将加载器从其二进制文件中移除呢?我们认为,这款恶意软件是为了帮助攻击者精减目标,同时云端加载器也方便恶意软件作者在以后添加更多的功能。

[参考来源Fortinet,翻译/鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文作者:, 转载请注明来自FreeBuf.COM

# 安全资讯
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑