近期,火绒威胁情报中心监测到一款通过改名为USB Disk来欺骗用户执行的蠕虫病毒正在传播,火绒安全工程师第一时间提取样本进行分析。分析过程中发现该程序在后台自动感染每个插入的可移动磁盘,并将原文件移动到一个隐藏文件夹中。随后,程序创建一个名为“USB Disk.exe”的文件,诱导用户点击以执行病毒程序。同时,程序还会启动后门进程,试图控制用户主机成为自己的肉鸡。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
在此,火绒工程师提醒大家对来历不明的文件应保持警惕,同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。目前,火绒6.0已正式上线,综合用户的实际场景、使用感受和建议等多个方面,在形式、功能和操作等方面均进行了改进与创新,升级反病毒引擎等核心技术,精细化病毒查杀设置,增加更多威胁检测点,为“杀、防、管、控”增强壁垒。欢迎大家前往火绒官方网站下载体验。一、样本分析
分析得出该病毒通过多个模块协同工作,通过白加黑的手段,具备较强的隐蔽性。其包含U盘传播、虚拟机检测、自启动设置、文件管理和CMD后门等多种恶意行为。其中白文件是wwntray.exe(第二启动器)、Transfer.exe(蠕虫启动器)、Permissions.exe(后门启动器),它们主要是通过调用dll导出函数的方式执行恶意代码。样本USB Disk.exe在刚被制作出来时并不能完整运行,因为需要满足多种条件才可执行,所以需要通过transfer.exe启动蠕虫并感染第一个可移动磁盘,从而“帮助”它满足条件才可以真正开始传播。传播的方式是将USB Disk.exe放入到可移动磁盘中的根目录下,同目录下其他六个文件放入到可移动磁盘的隐藏目录中。之后在其他主机上使用该可移动硬盘并运行USB Disk.exe时,总启动器USB Disk.exe就会执行同目录下病毒文件夹中的wwntray.exe实现从可移动磁盘逆感染主机的操作,此时被感染的主机就会在后台执行蠕虫模块和后门模块,使每一个插入该主机的可移动磁盘都会被感染,重复第一次transfer.exe完成的操作。病毒在运行蠕虫模块和后门模块前会进行一系列检查、持久化设置、删除部分文件等操作。样本会在感染U盘时,将程序改名为USB Disk.exe,以诱导用户点击并执行。所以当USB Disk.exe程序在用户的U盘中出现时,意味着该U盘可能已被该病毒感染。该程序首先通过GetModuleFileName检查当前目录是否为盘符的根目录,如果不是,则结束运行。随后,通过CreateProcess启动explorer.exe,参数为藏有U盘原文件的目录,此操作的主要目的是打开并展示受害者U盘中的原始文件,从而试图让受害者误以为自己仅仅是打开了USB Disk文件夹而不是病毒。
U 盘中原始文件目录
接着通过传入字符串参数"(C:)"来寻找磁盘根目录窗口并发送关闭窗口指令,目的是为了让受害者感受到打开的就是一个普通的文件夹。并通过OpenEvent参数ConfigurantionDebug4防止程序多开wwnotray.exe,随后执行wwnotray.exe,参数为-debug。
执行 wwnotray.exe
wwnotray.exe加载wweb32.dll并执行该dll导出表中的ShowModalWordWebWEx函数,该函数包括持久化操作、执行蠕虫和后门模块等功能。
执行 ShowModalWordWebWEx 函数
程序首先通过CreateEvent检测事件是否已经存在来防止多开。
防止多开
详见:https://mp.weixin.qq.com/s/P_WqwkTT7ppjyXagQjo6PA
