也谈生命 联系站长

浏览量

JS敲骗财者变种操作PowerShell免杀阐明

作者:互联网 发布时间:2017-04-16

近期360安详卫士监测到呈现了一种js敲骗财者病毒变种聚四氟乙烯,此种敲骗财者操作PowerShell举办免杀,二氧化锰,通过VirusTotal比拟各大安详厂商的扫描功效,发明今朝杀毒厂商对此种js敲骗财者病毒的检出率出格低,本文就由360QEX引擎团队团结js,vbs和宏三种范例的剧本对PowerShell的操作方法举办具体的阐明

  0x01 JS敲骗财者操作PowerShell

首次发明的此类样本是通过html名目标方法举办流传的,它的代码颠末夹杂加密后放在一个html文件之中,VirusTotal今朝只有7家杀毒厂商报毒。

样本文件md5: 8db221c5ec335f0df1c4a47d1b219f6a

sha256: 0e1cfde86bfe427784fe9c280c09d0713ed0a47d1be552dc83fead378f671fb2

 

图 1:样本1

 

图 2:样本1的VirusTotal扫描功效

对此样本举办解密,然后对解密的样本再次举办扫描,发明此时只有360安详卫士可以查杀。

样本文件md5: 50de6e9ca24342a2e24d22fb49d9b69b

sha256: e7e7167137f5954d51bef26ee111537ee9b9aa0fff5e077b9cde92303ed4de85

 

图 3:解密后样本的VirusTotal扫描功效

对解密后的样本举办名目整理,可以看到如图4所示的功效。

图 4:对解密后的样本举办整理

以往常见的js敲骗财者病毒,会操作windows用户的wscript.exe措施,通过此措施为js剧本提供一个可执行的宿主情况,然后举办长途文件的下载和执行。而此次所呈现的敲骗财者病毒产生了重大变革,它是操作windows用户的PowerShell措施,通过PowerShell完成pe文件的生存,下载和运行。

此样本并没有颠末几多决心的夹杂,可是由于之前未呈现这种操作方法,所以才导致VirusTotal中查杀率很低的功效。

为了防备用户的察觉,此病毒在PowerShell运行时对“WindowStyle”参数利用值Hidden,而且被下载的pe文件运行竣事就举办删除了。

样本1范例的样本厥后呈现了一些新的变种,它的操作方法和代码的夹杂方法均产生了一些变革。

样本文件md5: e6e13879e55372d7b199fdf2c58b1d0b

sha256: c0e3d8247ba43b904a2c21d06274616b046f23325bffb9b954eccc1529e8682e

图 5:样本2的VirusTotal扫描功效

图 6:样本2

此夹杂样本和样本1的运行方法产生了一些变革:样本1操作Wscript.Shell工具,通过挪用Run成员函数运行用户当地的PowerShell措施;而这个样本则操作shell.application工具,通过它的ShellExecute成员函数运行cmd.exe,然后再操作cmd挪用PowerShell。

代码夹杂方法和以往常见的夹杂也产生了变革,以前的js敲骗财者会通过字符拼接,数组操作,eval函数等方法举办夹杂,而此样本主要通过字符的巨细写调动,字符串中间添加多余的“^”标记举办夹杂。

由于此样本的url还未失效,下载url中的pe文件并举办VirusTotal扫描,可获得如图7所示的扫描功效。

样本文件md5: 51bfd9f388a38378b392c4aa738f67bc

sha256: 7b989c6cf941d08eae591e486146b40c5e297b567e4883617eec770bdb42b53b

 

图 7:pe文件VirusTotal扫描功效

0x02 vbs敲骗财者操作PowerShell

样本文件md5: 7bf9f9f7a67ebadd0a687bf8f46091a7

sha256: 21e7b650d7848c4082c172338b362a4197d09775c6706286abe4baff0c6febdb

 

图 8:vbs敲骗财者VirusTotal扫描功效

此样本的操作方法和js敲骗财者有以下处所差异:它是将PE文件内容以base64编码的方法生存到长途处事器,二硫化钼,然后通过msxml2.xmlhttp工具将base64数据下载到注册表中,读取注册表中所下载的数据,润滑材料,利用base64解码数据并保持到当地,最后通过Powershell执行当地所生存的PE文件。此样本的主要代码如图9所示。

 

图 9:vbs敲骗财者的主要代码

 0x03 宏病毒敲骗财者操作PowerShell

样本文件md5: b7fefcf8d0dc5136c095499d8706d88f

sha256: f81128f3b9c0347f4ee5946ecf9a95a3d556e8e3a4742d01e5605f862e1d116d

 

图 10:宏病毒的VirusTotal扫描功效

 

图 11:宏病毒的主要代码

阐明此宏病毒样本可以看到,它操作PowerShell的方法和样本2极其相似,同样是挪用用户的cmd.exe,五聚甘油硬脂酸,然后在cmd中挪用PowerShell。它选择运行PowerShell的方法不是埋没执行而是最小化执行。

 0x04 总结

加密打单软件可以操作的流传方法越来越多,病毒的进化速度也越来越快,所操作的宿主软件也日益增多,因此用户必然要提高安详防御意识,实时安装杀毒软件。

非PE病毒查杀引擎QEX是 360安详卫士和360杀毒中认真查杀宏病毒及vbs、js和bat等非PE样本的独占引擎,上述样本QEX引擎均已可以查杀。

  0x05 Reference

WSF文件名目成为敲骗财者流传新途径

近期js敲骗财者的反查杀能力阐明

技能揭秘:宏病毒代码三大隐身术

NeutrinoEK来袭:爱拍网遭敲骗财者病毒挂马

x

网友吐槽

推荐阅读

创业故事

友情链接

前沿科技 高新技术 一路同行 技术动态 也谈生命

纳米材料,纳米技术,纳米科技,纳米论坛,中国纳米技术,新材料