代码创建文件夹c++_真假文件夹?FakeFolder病毒再次捣乱企业内网

最新推荐文章于 2024-06-02 08:48:30 发布
最新推荐文章于 2024-06-02 08:48:30 发布
阅读量435 收藏
点赞数
文章标签: 代码创建文件夹c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28955629/article/details/113453097
版权

1. 背景概述

   近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。

 深信服安全团队提取了该蠕虫病毒文件,并对其进行了详细的技术。

2. 病毒原理

[1] 病毒首先会创建一个子进程并注入恶意代码进行核心操作,从而避开杀软的查杀。

[2] 子进程会释放要给ghi.bat脚本进行主机、网络信息的收集。

[3] 进行完以上操作后,病毒开始感染文件夹,并配和autorun.inf实现重复感染。

[4] 最后,病毒还有创建两个定时器,定时监控注册表实现持久化攻击,以及定时访问windows服务器实现伪装。

05f66ecb9c39e87bca857ad937ea3697.png

3. 病毒现象

被感染主机,系统中的文件夹全部变成了328KB的可执行文件:

888ebc25002530e35bfd881899f1443e.png

病毒为一个文件夹图标的wmimgmt.exe进程:

ef9fed0f019edd8157c26d970e08a3f0.png

4. 病毒母体分析

   病毒使用MFC编写,首先会进行一些初始化操作,包括:获取system32路径、动态获取系统函数地址、获取系统安装的杀软信息,如果没有安装卡巴斯基则执行后续恶意行为:

6cd4648ba62d0710fda4f01dc9c16b3f.png

若未检测到杀软进程,则病毒代码将进入到0x402DD0开始进程注入的操作。

4.1 注入环节(0x402F70 -> 0x402DD0)

   该环节,病毒会读取资源节中的恶意代码(一个PE文件),然后以挂起状态创建子进程,调用WriteProcessMemory将恶意PE注入子进程并恢复进程:

6c37f7e79fddeea0011b65747c34d0c7.png

5. 注入恶意代码分析

 我们将注入的恶意代码dump下来,分析发现,该段恶意代码首先会判断程序当前路径是否为C:\ProgramData\Application Data或C:\Documents and Settings\All Users,如果不是,则将其拷贝到相应目录下命名为wmimgmt.exe并运行。重复上述操作后,跳到0x40BE00执行核心恶意操作:

17cd1629e666a92b0579886f9d925b29.png

5.1 收集信息环节(0x40B070 -> 0x40BE00)

恶意代码会创建3个线程,分别执行创建互斥量、遍历磁盘、释放病毒脚本的操作:

cb8f5ef77b3557bc53c910370d682f03.png

脚本名为ghi.bat,主要操作为获取系统、网络以及进程信息:

bd348f8ac0a6745a4c7bbc1c50a7cabd.png

做完以上操作后,会使用DialogBoxParamA创建一个模态对话框,用于监控执行恶意功能。

5.2 定时操作环节(0x40B070 -> 0x40BE00 -> 0x40BF70)

调用SetTimer设置2个定时器,分别为10秒和30秒,定时触发后面3个行为:

[1]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue置为0,不显示隐藏文件及文件夹。

0334ec751f7f9065e53affb4a1798e1e.png

[2] 添加开机自启动项HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wmi32:

ba0de0478bc692930cf1bfef56260396.png

[3]查询域名“windowsupdate.microsoft.com”地址:

63f7b5db46017b27044cf687a978cadb.png

5.3 感染磁盘环节(0x40B070 -> 0x40BE00 -> 0x40BF70 -> 0x40C460)

 

当初始化或者硬件设备发生改变时,回调的方式执行DialogFunc执行感染流程,感染对象为USB磁盘和网络磁盘:

491b894d4a3e1fa3bb345200f301b7e0.png

经过一系列的判断,终于来到了感染的核心环节,病毒会创建 C:\RECUCLER\wmimgmt.exe和AuToRUn.iNf实现重复感染。wmimgmt.com为病毒的克隆体。AuToRUn.iNf的代码如下,功能为当用户打开文件夹时,自动执行C:\RECYCLER\wmimgmt.exe重复感染:

59cdbd626870a24d78146b8fd73770ba.png

wmimgmt.exe病毒文件有特殊属性,在正常情况下不会显示出来:

da0ebb0433b96e30917a5badd5664043.png

最后,便是执行我们开头见到的篡改文件夹操作,病毒先将原文件夹隐藏,然后将病毒自身克隆成文件夹的样子,命名为“文件夹名+.exe”:

67f7f5e02debceabd3e5b135886a11c1.png

运行感染的病毒程序,会打开病毒所伪装的文件夹,从而避免被受害者发现异常。

b0b7b7e3e47ab3b4ffc70aa975e2b50d.png

感染后的文件夹如下图所示:

2136b7bf20d286daf6c28bd99bf92d84.png

解决方案

 病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

fd1e4a72d96c75087dc74f1080a9e183.png

Yu-Demon32~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
蠕虫C代码
08-25
上找的一个蠕虫代码,对本机影响而以,不会对络造成影响,研究一下之后可以.不过请注意,我每次运行之后都是把改善出的东西删除了,因为实际作用要在重启之后才会发生作用.慎用!
制作一个后缀名为.vbs的病毒代码
Hxwhi的博客
05-28 858
建议使用虚拟机(可以使用VMware Workstation Pro,可以参照 那年遇见了你 的发布的文章),否则你的计算机将会就地报废,使用时要关闭电脑病毒保护,如果使用的时候没有关,恭喜您的程序系统自带的病毒保护系统会被“就地枪决”)蠕虫是一种可以自我复制的代码,并且通过络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。废话不多说,上代码
c++病毒”大全(6种)
最新发布
weixin_66423343的博客
06-02 723
注:本文仅供搞笑,禁止用于非法。不要让别人的电脑快快乐乐
C++蠕虫病毒免疫器 (antiAutoRun)
cjz2005的博客
07-17 588
使用方法: 输入 一 个 想要免疫的磁盘盘符,如C:\ D:\ E:\ 填完整! 回车 原理: 创建一个无法删除的文件夹(运用Windows文件系统的特性) (控制台版) 源码
蠕虫病毒——“木木”(Worm_MuMu.A)
10-14 1064
一、感染系统Windows 95/98/Me/NT/2000/XP 二、技术特点病毒名称:“木木”(Worm_Mumu.A)病毒类型:蠕虫病毒特征:该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:%Windows%/bboy.exe (21KB) %System%/las
c++病毒代码(中级)
ww_773737473957的博客
02-18 1100
不说了上代码(只会蓝屏和特效!)用vs2022windows项目下x86release运行即可。有一个抄袭者很无耻,是@快乐星空Maker它抄了我的代码
3.如何创建多层文件夹?(Visual C++编程 源代码
06-23
3.如何创建多层文件夹?(Visual C++编程 源代码)3.如何创建多层文件夹?(Visual C++编程 源代码)3.如何创建多层文件夹?(Visual C++编程 源代码)3.如何创建多层文件夹?(Visual C++编程 源代码)3.如何创建...
Arduino eclipse 插件硬件支持文件夹_C++_代码_下载
07-04
这个插件扩展了Eclipse,使其能够识别和理解Arduino的C++语法,提供了更好的代码编辑、构建和调试体验。 在标题和描述中提到的"硬件支持文件夹"是指Arduino IDE中的一个关键组成部分,用于存储不同Arduino板型号和...
TraversalFolder_遍历文件夹_hism1j_C++_
10-04
总之,"TraversalFolder_遍历文件夹_hism1j_C++_"项目提供了一个使用C++遍历文件夹及其子文件夹的实例,通过分析`Unit1.cpp`和其他相关源代码,我们可以学习到如何在不同的操作系统环境下处理文件系统操作。
遍历文件夹并建成目录树00.zip_C++目录树_文件夹 _文件夹遍历_遍历文件_遍历文件夹
07-15
遍历文件夹并建成目录树__遍历文件夹并建成目录树
新建文件夹_C++_
09-30
每个 C++/C 程序通常分为两个文件。一个文件用于保存程序的声明(declaration),称为头文件。另一个文件用于保存程序的实现(implementation),称为定(definition)文件。
蠕虫清除工具2020年
12-28
最新蠕虫清除工具,清楚win32等蠕虫病毒 完全杀毒
文件的感染C++代码
05-05
PE 文件的感染WIN32CPP代码,仅作学习交流,请勿用于其他用途!
工业安全应急响应典型案例
glb111的博客
04-06 461
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
C++病毒
WTC20120518的博客
03-04 2898
C++5个小病毒
C++——超强级病毒代码
小天狼星_布莱克 的博客
08-05 7572
坑人坑到极致,就成了病毒……本程序造成的后果作者概不负责!!
一段简单的C/C++病毒源程序
热门推荐
mycaibo编程
12-07 1万+
主要是感染C/C++源文件只要编译该段源程序就会使当前目录里的所有.c和.cpp文件感染上病毒,当然如果是没有主函数的源文件就没有作用:思想很简单:插入一段复制自身的代码,而这段代码是将自身的病毒部分传播给同目录下的其它文件。
c++病毒代码2.0
m0_74811974的博客
12-22 824
114514
C语言 简单 MBR 病毒 4行代码
Qode
07-08 2687
清除 MBR 使系统无法启动 #include <stdio.h> int main() { FILE *disk = fopen("\\\\.\\PHYSICALDRIVE0", "rb+"); char mbr[512] = {0}; fwrite(mbr, sizeof(mbr), 1, disk); fclose(mbr); return 0; } ...
实现在局域创建共享文件夹 C++ 代码实现
06-08
C++ 中实现创建共享文件夹需要使用 Windows API,以下是示例代码: ```c++ #include #include #include #pragma comment(lib, "Netapi32.lib") int main() { NET_API_STATUS status; SHARE_INFO_2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值