传播CoronaVirus勒索软件和KPOT窃密木马的事件分析
图 3-1 运行流程
表3‑1样本和域名的创建或更新时间
样本/域名 | 时间戳/域名更新时间 |
CB2B4CD74C7B57A12BD822A168E4E608 | 2020-03-08 |
99785AE0679D6D3E27DE83AF403C23B0 | 2020-03-08 |
wisecleaner.best | 2020-03-14 |
trynda.xyz | 2020-03-06 |
4.1下载器样本分析
表4‑1下载器木马
病毒名称 | Trojan/Win32.Zenpak |
原始文件名 | WSHSetup.exe |
MD5 | CB2B4CD74C7B57A12BD822A168E4E608 |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
文件大小 | 898.00 KB (919,552 bytes) |
时间戳 | 2020-03-08 9:21:22 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2020-03-11 18:22:33 |
VT检测结果 | 52 / 71 |
表4‑2 关联的下载地址
url | 备注 |
http://tryndz.xyz/file1.exe | KPOT窃密木马 |
http://tryndz.xyz/file2.exe | CoronaVirus勒索软件 |
http://tryndz.xyz/WSHSetup.exe | 下载器 |
4.2下载样本一:KPOT窃密木马
表4‑3 KPOT木马
病毒名称 | Trojan/Win32.Zenpak |
原始文件名 | file1.exe |
MD5 | 99785AE0679D6D3E27DE83AF403C23B0 |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
文件大小 | 718.50 KB (735,744 bytes) |
时间戳 | 2020-03-08 10:51:10 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2020-03-10 15:42:45 |
VT检测结果 | 57 / 72 |
图 4‑1 KPOT窃密木马回传的远程站点
图 4‑2 窃取邮箱的用户名和口令等信息
4.3下载样本二:CoronaVirus勒索软件
表 4‑4 CoronaVirus勒索软件
病毒名称 | Trojan[Downloader]/Win32.Upatre |
原始文件名 | file2.exe |
MD5 | EC517204FBCF7A980D137B116AFA946D |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
文件大小 | 43.00 KB (44,032 bytes) |
时间戳 | 2020-03-10 13:02:39 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ |
VT首次上传时间 | 2020-03-11 18:29:42 |
VT检测结果 | 59 / 72 |
4.3.2 样本行为
图 4‑3 CoronaVirus勒索软件勒索信
图 4‑4 驱动器重命名
CoronaVirus勒索软件运行后加密以下扩展名文件:
表 4‑5 CoronaVirus勒索软件加密的扩展名文件
.bak | .bat | .doc | .jpg | .jpe |
.txt | .dbf | .xls | .cry | .xml |
.vsd | .csv | .bmp | .tif | |
.tax | .gif | .gbr | .png | .mdb |
.mdf | .sdf | .dwg | .dgn | .stl |
.gho | .ppt | .acc | .vpd | .odt |
.ods | .rar | .zip | .cpp | .pas |
.asm | .rtf | .lic | .avi | .mov |
.vbs | .erf | .epf | .mxl | .cfu |
.mht | .bak | .old |
该勒索软件运行后释放一个名为“iu.exe”(随机命名)的文件到临时目录下,并添加到注册表HKLM\ SYSTEM\CurrentControlSet\Control\Session Manager项的“BootExecute”键值,实现系统启动后恶意锁屏。安天CERT研究测试后发现通过启动安全模式,进入临时目录下删除该文件,可以取消恶意锁屏。
图 4-6 锁屏显示
安天提醒广大用户,提高网络安全意识,及时进行系统更新和漏洞修复,避免下载非正版的应用软件、非官方游戏及注册机等;安装具有主动防御能力的终端防护软件(如安天智甲)以对勒索软件提供有效防护;及时备份重要文件,文件备份应与主机隔离;尽量避免打开社交媒体分享的不明来源链接,将信任网站添加书签并通过书签访问;避免使用弱口令或统一的口令;接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件,避免轻易下载来源不明的附件。
目前,安天智甲终端防御系统可实现对以上恶意软件的查杀与有效防护。IoCs |
CB2B4CD74C7B57A12BD822A168E4E608 |
99785AE0679D6D3E27DE83AF403C23B0 |
EC517204FBCF7A980D137B116AFA946D |
F272B1B21A74F74D5455DD792BAA87E1 |
wisecleaner.best/Soft/WSHSetup.exe |
trynda.xyz/file1.exe |
trynda.xyz/file2.exe |
trynda.xyz/WSHSetup.exe |
往期精选