病毒详细分析:
首先创建互斥体,防止重复运行。
:Zone.Identifier流用于弹窗警告,此处通过将病毒路径与:Zone.Identifier拼接,并通过DeleteFileW函数将拼接后的路径删除,关闭安全弹窗警告。 判断病毒路径是否包含svchost.字符串,如果不存在则向下执行。 扩展环境变量字符串%systemdrive%,生成随机数,在系统路径下创建文件夹。 将病毒自身复制为svchost.exe,放入新创建的文件夹中,并将文件夹及病毒文件属性设置为隐藏。打开windows防火墙白名单注册表,将病毒文件加入白名单中。
添加注册表自启动项目。
尝试运行病毒程序,运行成功后退出当前进程。
二次执行病毒文件,在病毒路径与svchost.exe字符串比对后,执行第二分支。
停用windows defender相关组件。
创建两个线程,分别用于窃取用户的加密货币及遍历文件操作。
以指定的格式获取用户的剪切板数据。
判断货币地址类型,若判断出货币种类,则将其改为黑客指定的地址,以此达到窃取用户加密货币的目的。
获取病毒文件路径,以可读写的方式打开病毒文件。
获取盘符信息,排除由explorer禁用的盘符。
判断各盘符下是否存在_\DriveMgr.exe文件,若存在则对其进行数据比对,比对错误就将其删除。
在各盘符下创建_文件夹,并将属性设置为隐藏,将病毒文件复制到_文件夹下更名为DriveMgr.exe
在每个远程驱动器中创建_文件夹并在其根目录中创建.lnk快捷方式
文件遍历,对搜索到如下后缀的文件执行删除操作。
使用dowhile循环,在_文件夹下创建以遍历到的文件名命名的文件夹。并通过位与运算,如果文件属性为文件夹,进行递归遍历。若不为文件夹,将其移动至_文件夹下。此操作是将用户的文件全部转移到_文件夹下,并将用户的文件夹全部删除。
从URL中获取数据。若从URL读取数据失败,则通过URLDownloadToFileW函数直接从URL下载该文件。
扩展环境变量字符串,以随机数创建文件,将从URL中获取的数据写入到文件中并删除安全弹窗警告。
对样本的Hash值进行比对,判断下载下来的文件是否完整和正确。
调用CreateProcessW执行文件,若执行不成功,则使用cmd命令执行。
安全产品解决方案
安全DDAN沙盒可以检测出其恶意行为。
安全建议 及时更新病毒码版本; 打开系统自动更新,并检测更新进行安装; 不要点击来源不明的邮件以及附件; 不要点击来源不明的邮件中包含的链接; 请到正规网站或者应用商店下载程序; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 尽量关闭不必要的端口; 尽量关闭不必要的网络共享;*本文转载自亚信安全病毒公告