恶意病毒分析与防御教学文档

恶意病毒分析与防御教学文档 一、病毒概述 该病毒是一种新型后门病毒，具有以下特征： 破坏性强 ：执行多种病毒模块 主要危害 ： 窃取比特币、门罗币等虚拟货币数据 利用用户电脑进行门罗币挖矿 远程操控进行勒索 技术特点 ： 使用"无文件加载"技术提高隐蔽性 伪造亚马逊、微软及火绒的数字签名 成功绕过国内多数安全软件查杀 二、病毒行为分析 1. 病毒执行流程 访问C&C服务器下载执行多种病毒模块 执行三个远程脚本： 下载勒索病毒 下载挖矿病毒 可能下载间谍病毒 2. 病毒模块功能 | 模块类型 | 功能描述 | |---------|---------| | 勒索病毒 | 常驻后台等待勒索时机 | | 挖矿病毒 | 伪装为explorer.exe运行 | | 间谍病毒 | 信息收集、执行服务端指令 | 3. 进程树结构 病毒执行后会产生以下进程： 执行远程恶意VBScript脚本 执行SCT脚本 派生多个子进程实现不同功能 三、技术细节分析 1. 主要脚本分析 ps5.sct脚本 混淆过的SCT脚本 通过regsvr32远程执行 使用PowerShell结合.NET静态方法创建子线程执行shellcode shellcode功能： 向ssl2.blockbitcoin.com请求数据 下载PE结构异常的恶意DLL 从远程服务器获取并执行命令（当前为挖矿命令） reg99.sct脚本 根据系统架构(32/64位)释放不同版本的evil.js evil.js功能： 下载挖矿病毒 挖矿病毒伪装为explorer.exe sp.txt脚本 混淆的VBScript脚本 下载执行勒索病毒(core.scr) 勒索病毒使用RSA非对称加密 行为特征： 终止常见数据库进程 加密特定后缀文件 2. 挖矿病毒分析 文件名：explorer.exe（伪装） 运行机制： 每5分钟执行一次reg9.sct中的恶意代码 利用WMI执行下载并运行挖矿病毒 钱包收益：截至2018年5月8日已有明显收益 3. 间谍病毒分析 文件名：SVTHOST.EXE 行为特征： 让浏览器安装adblockplus插件 通过向JS文件写入代码片段 过滤并窃取用户比特币钱包信息 4. 免杀技术 签名信息频繁变化 伪造知名厂商数字签名： 微软 亚马逊 火绒 所有伪造证书签名同属一家CA 四、溯源分析 语言特征 ： 样本资源版本信息显示为简体中文 文件说明伪装为"金山安装工具" 签名伪造 ： 包含伪造的中国厂商(火绒)签名 推测 ： 病毒编写者可能为中国人 五、防御措施 1. 检测方法 检查异常进程：特别是伪装为explorer.exe的进程 监控网络连接：ssl2.blockbitcoin.com等可疑域名 检查计划任务：每5分钟执行的恶意脚本 2. 防护建议 签名验证 ： 严格验证所有程序的数字签名 不轻信知名厂商签名 进程监控 ： 监控explorer.exe的异常行为 检查WMI的异常执行 文件监控 ： 监控核心.scr、SVTHOST.EXE等可疑文件 检查JS文件的异常修改 网络防护 ： 拦截可疑域名访问 监控异常挖矿连接 安全软件 ： 使用可检测此类病毒的安全软件(如火绒最新版) 保持安全软件及时更新 六、附录 1. 病毒相关数据 钱包地址：可通过区块链浏览器查询收益 加密文件后缀：常见数据库和文档格式 终止进程列表：常见数据库主程序名 2. 技术指标(IOCs) 域名：ssl2.blockbitcoin.com 文件哈希：各病毒模块的MD5/SHA1值 签名信息：伪造的证书指纹 本教学文档基于火绒安全实验室2018年5月14日发布的病毒分析报告整理而成，仅供学习研究使用。