O Habraludi、カルマが少し増えてくれてありがとう。 Odnoklassnikiでの昨日のイベントについて、技術的な詳細を書いて最終的に書くことができます。
2008年7月2日、Odnoklassnikiのユーザーを対象とした大量のスパムメールが送信されました。 メッセージには特定のサイトへのリンクが含まれていました。 残念ながら、私が仕事に来て問題に対処し始めたとき、リンクはすでに死んでいました。 しかし、ユーザーはなんとかそれを通過し、最終的にいくつかの実行可能ファイルを送信しました。 ほとんどの場合、リンクは何らかの悪用であり、ユーザーの知らないうちに被害者のコンピューターにファイルをダウンロードして起動することができます。 被害者のコンピューターで最初に取得したファイルは分析しませんでしたが、悪意のあるライフパスの段階の1つを取得しました。
したがって、winnt32.dll。
エクスポートがなく、ファイルが暗号化または圧縮されていることがすぐにわかる場合を除き、通常のDLL。 まず、KiFastSystemCallアドレスが2つのハンマー定数から計算され、この関数が呼び出されます。 現時点のEAXでは、0x09はNtEnumerateBootEntriesに対応しているようです:
.text:004011A6 mov edx、67C7AE8Eh
.text:004011AB mov ebx、[edx + 18365472h]
.text:004011B1 dec ebx
.text:004011B2 call ebx
これは、一種のOSバインディングであり、デバッグに対する保護です。仮想マシンの1つでは、ファイルは機能しませんでした。 .rsrcセクションのファイルには、暗号化されたデータの大きな配列が含まれており、そのアドレスがVirtualProtectに渡されます。 その後、復号化関数が呼び出され、その結果、メモリ内に本格的な実行可能ファイルが取得されます。 さて、これは小さなものです-VirtualAlloc、memcpyを数回実行し、新たに割り当てられたファイルのメモリイメージが、実行準備が整いました。 復号化されたファイルはディスクにフラッシュされないことに注意してください!
最初の段階で復号化およびダウンロードされたファイルには、すべてのペイロードが含まれています。 HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ WinNt32に2つのパラメーターを作成します。IDとUnique(ランダムな文字列で埋められます)。 その後、不明確なアルゴリズム(ほとんどの場合ランダム)に従って、GET要求が生成されます。 次のステップは、暗号化されたデータをネットワークからダウンロードすることです。 InternetReadFileやUrlDownloadToFileは使用されませんが、Windowsソケットの基本機能であるconnect-send-recvが使用されます。 要求されたURLと受信データは常に異なります。これは、受信データが要求URLに依存していることを示しています。 受信したデータを解読すると、2つのPEファイルがメモリに表示されます。 最初のファイルはディスクに保存されて起動されますが、2番目のファイルの運命はもう少し興味深いものです。 このトロイの木馬はsvchostプロセスを開始し、WriteProcessMemoryを使用して2番目に受信したファイルを挿入し、コードに制御を移します。
合計:スパムでは、被害者のコンピューターにファイルをダウンロードして起動した悪意のあるコードが含まれているとされるページにリンクが配布されました。 このファイルの操作の結果、WinNt32.dllファイルが被害者のディスクに出現し、ネットワークを介して2つの暗号化ファイルを受信しました。1つは保存および起動され、2つ目はsvchostに挿入されました。
ダウンロードしたファイルの機能を分析しています。 ニュースを待ってください!
オドノクラスニキのウイルス
All Articles