全站搜索
设为首页加入收藏
联系我们
地? 址:杭州市莫山南路868号
??????? 汽车西站旁
电? 话:0571-98765432
??????? 0571-98765432
联系人:杨军(经理)
手 ?机:15887654321
补丁
?
补丁
实质上其会链接恶意网址下载恶意文件
作者:admin ?? 发布于:2019-07-08 18:19 ?? 文字:【】【】【

  通过查看恶意DLL的导出表,我们发觉有良多导出函数,此中包罗用于反射注入DLL的ReflectiveLoader 函数和channel模块(包罗建立,打开等功能函数)。其还利用了metsrv.dll文件, 该文件是meterpreter的焦点组件,常常用来进行收集渗入。

  然后其会通过拜候恶意网址下载360.bin和360.ico恶意文件到系统中,我们阐发发觉,其下载的两个文件内容不异。此中360.bin文件是通过病毒当前历程id与恶意网址拼集后获得的恶意URL下载而来。

  360.bin文件下载到系统后,该病毒文件会申请一段内存,将360.bin文件解密并删除,随后施行。

  通过进一步阐发,我们发觉该文件是利用meterpreter(MSF)攻击框架生成的尺度攻击载荷。其利用了一种叫做Reflective Load的手艺,也就是在PE头部插入shellcode并实现一个模仿加载dll的导出函数。在shellcode中挪用该导出函数将本身加载进来,并以fdwReason = 4来挪用DllMain。选择是4的缘由是使一般加载的dll不会施行到功能流程(由于在MSDN中指了然fdwReason的值只能为0、1、2、3)。

  该病毒起首会建立一个线程,该线程次要用于弹出补丁安装成功的动静框,掩盖其实在的恶意行为。

  近日,亚信平安截获一款伪装成补丁安装法式的下载器木马病毒,该病毒运转后会弹出补丁安装成功的动静框,用来利诱用户。本色上其会链接恶意网址下载恶意文件,并将下载的恶意文件加载到内存中,颠末解密后再次下载恶意后门法式,最终的恶意法式是利用meterpreter(MSF)攻击框架生成的尺度攻击载荷。亚信平安将该恶意下载器定名为:Trojan.Win32.DLOADER.BK。

  实现自加载的导出函数ReflectiveLoader的校验PE头部门代码:

  我们能够从main函数代码中获得,只要在fdwReason == 4时才会进入真正的功能流程,进入后会施行init函数,此中包罗近程毗连到远端功能。因为是利用MSF框架,常用的功能包罗加载脚本,获代替理消息,文件下载等等。

  解密后的Shellcode的行为是操纵收集wininet模块从恶意网址下载别的一个恶意DLL文件。

脚注信息
版权所有Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有技术支持: