1.恶意文件描述
近期,深信服深盾终端实验室在运营工作中捕获到一款潜伏已久的使用 JavaScript 编写的多功能病毒,该病毒具有加载远程文件、权限维持及远控行为。该病毒最近开始变型传播,最早可追溯到17年。
2.恶意文件分析
该样本经过多次编码、替换,绕过静态文件检测。
经过替换解码之后的部分内容如下:
这部分代码会释放一个 JS 文件,同时从远程服务器下载一个 exe 文件到 %appdata% 目录并执行,该服务器已经失效,无法获取下载的 exe;释放出来的文件部分内容如下:
收集当前主机环境:
在执行的时候会查看某一注册表项判断脚本时候已经运行过、判断脚本位置是否在环境是否在根目录。
权限维持:
在判断主机环境之后该脚本会把自身写入到注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 下,同时将文件拷贝到用户的启动目录中,主机在开机时会自动执行该脚本。
远控:
在执行完维权之后会进入一个永真的循环中,该循环会持续收集主机的磁盘、主机名、用户名、系统版本、杀软、运行环境等信息并通过 HTTP POST 方法回传到 C2 服务器,并从服务器接受返回指令,通过对应的指令执行不同的操作,每次回传间隔 7000ms:
该脚本支持的指令如下:
解决方案
处置建议
- 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;
- 定期使用杀毒软件进行全盘扫描。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186442.html
cesfe 22天前0
好的,谢谢昶之琴 24天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 25天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下