近期,我們在下載一份PDF文件時發(fā)現(xiàn)一枚簡單的惡意Downloader(一種病毒類型)����。與其他惡意加載器不同,該惡意軟件在其二進制中加入了PE Loader����。
肉雞上線了?
一旦執(zhí)行�,加載器就會抓取本地用戶的系統(tǒng)信息,然后生成一個URL�����,最后連接到一個服務(wù)器。
在上面的實例中�����,AVA****5(第一個被遮擋部分)是受害者的計算機名���。緊接著后面的51-SP是系統(tǒng)的版本����。
分析李鬼
加載器下載的這個文件雖然是PDF的后綴��,但是文件中的內(nèi)容卻與PDF文件大相徑庭�。
這個加載器將0x74E7E1C8嵌入這個虛假的PDF文件中來進行掩飾��。解密過后����,如果長度和整個虛假PDF相同,那么加載器檢測offset 0×12雙字節(jié)的值����。如果其與硬編碼的簽名0x2E0F1567 相同�,那么就檢測位于offset 4的另外一個雙字節(jié)值�����。
加載器引導(dǎo)代碼調(diào)用云端加載器
在上面的代碼中�����,esi中包含了“PDF文件”的起始偏移地址�,call eax實際將執(zhí)行云端的加載器
我們可以看出offset 0×1134是RtlDecompressBuffer API的地址,調(diào)用API后��,這個惡意PE文件就會出現(xiàn)����,然后云端加載器使用一個小技巧來檢測MZ Header Signature。
在我們的分析過程中��,我們發(fā)現(xiàn)這個惡意軟件在下載其他一些不同的惡意軟件����,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.
總結(jié)
為何這個惡意軟件會將加載器從其二進制文件中移除呢?我們認為���,這款惡意軟件是為了幫助攻擊者精減目標�����,同時云端加載器也方便惡意軟件作者在以后添加更多的功能�����。
