| Win32 EXE |
|
表1.1样本信息
分析环境和工具
环境:win7x86位
工具:010editor IDA Hash refobj OD
分析目标
分析病毒的恶意行为及相关功能。
样本行为分析
Virustotal扫描34/59比例检测恶意行为,确定文档恶意行为。(
攻击流程:
主要使用恶意文档package恶意程序嵌入对象。
Rtfobj工具提取package对象自动释放,插入Package对象实际上是恶意的Scriptletfile(.sct)以及脚本文件%tmp%\\mico-audio.exe。
Scriptletfile(.sct)脚本文件。
释放的.sct脚本文件利用漏洞在c盘下运行 %tmp%\\mico-audio.exe 。释放PE文件Crome.exe,自我复制,写入注册表,执行PE文件。
执行创建文件crome.exe到C:\Users\用户名\AppData\Roaming\google-Chrome\下,伪装google浏览器目录,写入相应的文件。
PE文件运行有远程访问。
查杀及防范措施
查杀:
①目前,许多安全制造商可以通过安装杀毒软件来杀死这种恶意行为。
②手工查杀
- 删除指定目录C:\Users\用户名\AppData\Roaming\google-chrome\下Crome.exe
- 2.禁止启动项目world图标的Crome.exe
- 3.删除注册表L_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下Chrome键值。
防范措施
①在线更新;打开Windows Update更新。 ②打补丁;的微软补丁地址:Security Update Guide - Microsoft Securiy Response Center