admin 管理员组

文章数量: 1184232

样本信息

病毒名称:cve-2012-0158 APT病毒
所属家族:APT木马后门
MD5值:52E3DDB2349A26BB2F6AE66880A6130C
SHA1值:52E3DDB2349A26BB2F6AE66880A6130C
CRC32:7D21F812
病毒行为:感染主机,留下后门,允许远程操控

测试环境及工具

测试环境为虚拟机win7专业版
所使用到的工具:火绒剑,Pchunter,od,ida

主要行为

运行带病毒的Word文档后,会在临时目录释放hkcmd.exe,原本的DOC文件,并运行hkcmd.exe。

恶意代码分析

首先定位到缓冲区溢出地方

接下来就是hkcmd.exe文件的执行,Hkcmd文件运行后,会释放datac1en.dll文件到系统目录,然后设置注册表项,注册为系统服务

运行完毕之后,会结束自身进程,销毁自身文件

现在需要分析一下datac1en.dll文件。
使用IDA分析,直接F5反编译一下源码

可以看到调用了许多有关注册表的函数,十分可疑。
在部分函数内部,可以看到获取有关网页通讯的API操作

可以猜测是与网页操作有关的

并且部分明文经过了加密
经过大概分析,有一个函数比较可疑,里面有不同的操作,通过判断nType的值进行

里面囊括了创建结束进程,线程,遍历文件,驱动器,与远程通讯等操作。
可以猜测这个dll文件是注册到系统服务的,然后后台一直与远程进行通讯,可以根据远程发送的名称,进行对应的操作。

提取病毒的特征,利用杀毒软件查杀

可以通过查找字节码特征,使用杀毒软件查杀。

手工查杀步骤或是工具查杀步骤或是查杀思路等

进入安全模式,删除系统目录下datac1en.dll文件,临时目录的hkcmd.exe与datac1en.dll文件。
删除注册表键值

本文标签: 测试环境 文件 编程

版权声明:本文标题:Adobe Flash Player安全漏洞大揭秘:Cve-2012-0158和Cve-2012-5881带来的APT威胁 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1771826691a3549004.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。