您好,登錄后才能下訂單哦!
如何進(jìn)行XiaoBa勒索病毒變種分析,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來(lái)學(xué)習(xí)下,希望你能有所收獲。
XiaoBa勒索病毒,是一種新型電腦病毒,是一款國(guó)產(chǎn)化水平極高的勒索病毒,主要以郵件,程序木馬,網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。倒計(jì)時(shí)200秒還不繳贖金,被加密的文件就會(huì)被全部銷(xiāo)毀。
以上說(shuō)明摘自百度百科,但是我分析的這個(gè)XiaoBa變種并沒(méi)有以上行為特征,不過(guò)它擁有很強(qiáng)的隱蔽性和感染性,并且具有文件加密,文件刪除和挖礦三項(xiàng)主要功能。
此樣本經(jīng)過(guò)微步云沙箱分析(相關(guān)鏈接請(qǐng)參見(jiàn)《參考鏈接》),確認(rèn)為惡意樣本
樣本運(yùn)行之后,首先調(diào)整進(jìn)程權(quán)限,確保自己有足夠的權(quán)限進(jìn)行后續(xù)的操作
路徑判斷:樣本會(huì)判斷當(dāng)前的執(zhí)行路徑是否在%systemroot%\360\360Safe\deepscan目錄下,如果不在此目錄下則拷貝自身到此目錄并執(zhí)行。如果在此路徑下,將會(huì)首先進(jìn)行一些修改系統(tǒng)設(shè)置相關(guān)的操作:
將文件屬性設(shè)置為受保護(hù)的系統(tǒng)文件,需要在“文件夾和搜索選項(xiàng)”中取消“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”選項(xiàng)才可看到
遍歷磁盤(pán),在磁盤(pán)根目錄下創(chuàng)建autorun.inf文件,寫(xiě)入如下數(shù)據(jù),嘗試進(jìn)行U盤(pán)感染,并且少不了的將此文件設(shè)置為隱藏
創(chuàng)建文件夾RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且將自身文件拷貝進(jìn)來(lái)重寫(xiě)hosts文件,重定向安全廠商網(wǎng)址
最后創(chuàng)建線(xiàn)程,在線(xiàn)程函數(shù)中,XiaoBa會(huì)遍歷所有文件,查找擴(kuò)展名為.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件, 針對(duì)不同的擴(kuò)展名執(zhí)行不同的操作.exe,.com,.scr,.pif
重寫(xiě)這些文件,將自身文件寫(xiě)入這些文件的開(kāi)頭,后期如果再運(yùn)行這些文件的話(huà),就會(huì)運(yùn)行ZhuDongFangYu.exe
.html,.htm
在這些文件的末尾添加挖礦腳本
.gho,.iso
對(duì)于這些文件,直接刪除
一個(gè)有意思的點(diǎn)是這個(gè)樣本的圖標(biāo)是360殺毒的圖標(biāo),創(chuàng)建的文件夾名也是360,而且經(jīng)過(guò)它重寫(xiě)的可執(zhí)行程序的圖標(biāo)都換成了360的圖標(biāo)……
看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。