CTB-Locker敲诈者病毒下载器分析
一、 样本基本信息
样本名称:927354529512.scr
样本大小:110592 字节
病毒名称:Win32.Trojan.Ctb-locker.Auto
样本MD5值:3A6D7E551C132AC4C40D95394938F266
二、 样本脱壳
该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的,和前面提到的情况一样,病毒依然在程序的代码指令中加入了比较多的垃圾指令,有可能是敲诈者病毒的心态有点急了。4月份出现的敲诈者病毒没之前的病毒的加固措施做得好,但是病毒脱壳的方法和前面博客提到的一样,依然是在函数VirtualProtect和 VirtualProtectEx的地方下断点,实现一键手动Dump脱壳。
三、 样本行为预览
1. 在临时文件目录创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wujip.cab,其中.cab文件的名称是随机产生的,解压提取该.cab文件的.rtf文件并修改.rtf文件名称与当前模块的名称相同,然后运行该.rtf文件迷惑用户。
2. 解密字符串生成下载病毒的网址,与下载病毒的网址进行网络连接,获取需要的网络数据,基于这些网络数据在系统临时文件目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下生成guroga.exe病毒文件,并且.exe病毒文件的名称是随机产生的,然后运行guroga.exe病毒文件并删除guroga.exe病毒文件,加密用户文档等资料的正是下载的guroga.exe病毒文件。
3. 下载病毒的网址,如下:
lasertek.com.sg/icon/run.jpg
shaneproject.org.uk/docs/run.jpg
vesterlin.eu/stats/run.jpg
empuriadata.es/run.jpg
puntocan.com/derutamadre/run.jpg
finam.net/run.jpg
lars-laursen.dk/joomla/run.jpg
malagadetectives.es/images/run.jpg
4. CTB-Locker敲诈者病毒下载器连外网下载病毒的行为是循环进行的,只要有一次连外网下载加密用户文档等资料的病毒文件成功并运行,它就会退出进程,如果没有下载加密病毒成功,它继续连外网进行病毒的下载行为。在调试的过程发现, CTB-Locker敲诈者病毒下载器下载到系统临时文件目录的病毒文件目前发现的有3种分别是981kb、743kb、851kb,从CTB-Locker敲诈者病毒出现以来,这3个加密用户文档等资料的病毒文件是没有变化的,只是名称是随机的。
四、 样本行为具体分析
1. 获取系统的临时文件路径以及获取当前模块中的"DATA"类型的资源。
2. 在系统临时文件路径下创建名称随机的.cab文件如:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zoviqagyh.cab。
3. 调用函数SetupIterateCabinetW解压.cab文件,获取.rtf文件并运行该与当前模块同名的.rtf文件。
4. 创建互斥量"xgheaouo",防止下载病毒的行为重复进行。
5. 解密内存字符串得到下载加密病毒的网址,连接外网下载加密用户文档资料的病毒文件的数据。
6. 获取到病毒文件的数据以后,在系统临时文件目录下,创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zivyke.exe加密用户资料的病毒文件,运行该下载的病毒文件zivyke.exe以后,删除该下载的加密病毒文件zivyke.exe。
五、 在线病毒扫描的
样本的扫描结果:http://r.virscan.org/report/0a8f8426e8a5a1d40134c0ecb968d519
由于 CTB-Locker敲诈者病毒下载器文件的代码指令中有很多的垃圾指令的干扰,导致这种病毒的特征码的提取有难度,因此,在线病毒扫描的结果中发现,有很多的病毒引擎是没有识别出该病毒样本的,卡巴斯基都没能鉴别出。值得一提的是,当初CTB-Locker敲诈者病毒第一次出现的时候,没有一个病毒引擎捕捉到该病毒的出现。
六、 CTB-Locker敲诈者病毒的防范
(1)重要数据做好日常备份,如开启windows备份、采用企业网盘等;
(2)及时更新安全软件防范病毒,防止文件被误删;
(3)为保护数据安全,每年进行一次常规网络安全培训,增强安全意识。如建议大家不要点击陌生人发来的 exe、 scr 等可执行程序、链接、邮件,用邮箱随意注册网上的账号等;
(4)协防建议---网络出口边界处:考虑到中毒后,会自动连接外网IP下载恶意木马,建议在网络边界安全设备开启URL信誉库做拦截。这样即使中了,局域网内的恶意软件影响程序会减轻,达到通过设备日志实现事件追溯的效果
转载请保留博客地址:http://blog.csdn.net/qq1084283172/article/details/45767973
CTB-Locker敲诈者病毒下载器分析相关推荐
- CTB-LOCKER敲诈者病毒下载器脱壳之样本1
一.病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分.病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载 ...
- 病毒下载器利用搜索引擎广告推广,推装超过30款软件
腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,其传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器.flash player等知名软 ...
- 一个“良心未泯”的国产敲诈者病毒分析
一. 前言 近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军.以Locky家族,ceber家族为典型代表的敲诈勒索软件席卷国外,对政府机构,公司乃至个人用户造成了极大的危害.早期的 ...
- Android最新敲诈者病毒分析及解锁
一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...
- Android最新敲诈者病毒分析及解锁(11月版)
一.样本信息 文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk 文件大小:1497829字节 文件类型:application/jar 病毒类型:Android.CtLocker 样本包 ...
- 【下载器篇】IDM下载记录分析(简)
[下载器篇]IDM下载记录分析(简) IDM下载记录分析-未完待续-[蘇小沐] 文章目录 [下载器篇]IDM下载记录分析(简) 1.实验环境 (一)IDM下载记录分析-未完待续 临时文件夹 下载痕迹 ...
- 超级BT木马下载器 Gameservet.exe的分析 game1.exe 8888-521ww.exe qjso.exe
今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器 当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻 ...
- 中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?
导语:勒索木马在天朝已经屡见不鲜,为了让更多无辜读者完美躲避勒索木马的袭击,360反病毒小组负责人.拥有长达9年恶意软件查杀经验的王亮来解密勒索木马. 熟悉雷锋网(公众号:雷锋网)的读者可能知道,一个 ...
- ARP病毒攻击技术分析与防御(补充知识)
ARP病毒攻击技术分析与防御 -- ARP病毒攻击技术分析与防御 一.ARP Spoofing攻击原理分析 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议 ...
最新文章
- Corn Fields(POJ 3254状压dp)
- Java 理论与实践: 非阻塞算法简介——看吧,没有锁定!(转载)
- LOST OF DETAIL!!!的数学原理
- 怎么查看Beyond Compare所有会话日志消息
- 收好这张MySQL导图,全是知识点!
- Modbus协议栈开发笔记之五:Modbus RTU Slave开发
- linux虚拟机发邮件给163邮件
- tensorflow 数据归一化_TensorFlow——批量归一化操作
- 使用runtime跳转界面
- php5的程序如何安装在php7,centos安装php5和php7,并在apache里同时使用
- andorid 查看 Activity任务栈
- 一款很好用的在线作图工具ProcessOn,推荐大家使用
- 晶振及其内部电路详解:
- excel表格怎么打印?来看看excel表格打印的正确打开方式
- route 不同路由器 windows_如何检查路由器WiFi信号的好坏?
- 六度人脉 全球最高效的人脉法则(图)
- 想和程序员小哥哥做朋友
- JavaScript判断浏览器内核
- 七月的风,八月的雨,卑微的我喜欢遥远的你。
- ElasticSearch的学习笔记并整合SpringBoot做测试