“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO

近日,有网友向ISCRO安全团队反映,称Telegram电报群经常在转发一些可疑文件。图片[1]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科于是我们便向用户索要了相关样本,可以看到这是个.chm文件

图片[2]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科打开这个文件,只有一张“黑人抬棺的图片”,并且在不断刷新(注:VM虚拟机Win10下还会打开”文档“文件夹,而VBox虚拟机Win7下不会)

图片[3]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科传到VirusTotal和本机电脑进行实验:VT上国产杀毒全没报毒,1/2的国外杀毒报毒了;本机装的Avast和火绒只有Avast报毒了

图片[4]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科图片[5]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科我们对这个.chm文件进行了反编译,可以看到这个是用EasyCHM生成的.chm文件,但是其中居然还有一个2.exe!

图片[6]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科按照Windows Defender的报毒名,这是一个远控后门程序,从图标看是MFC应用程序,我们把他上传到云沙盒看看

图片[7]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科看起来像是无界面运行,我们先点网络分析

图片[8]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科可以看到TCP连接有三项:第一项是获取本机IP;第二项因为使用安全套接字加密了,暂时看不出来(可能为远控服务器,位置为香港某BGP数据中心);第三项是获取UTC时间

图片[9]-“幽灵电子书”重出江湖,TG群助力病毒传播 – 作者:互联网安全民间响应组织ISCRO-安全小百科

UDP处最后一项也是加密了,疑似发送本机信息并接受下一步指令,位置为广东深圳联通
 
而且还有一系列可疑行为,如自动发送证书创建请求,自动获取Windows更新发送主机名,获取前置窗口信息,获取剪切板等,这里不再一一阐述,具体网络行为分析链接:http://server-jiangsu1.iscro.cn:8000/analysis/20/network/ 具体行为分析链接:http://server-jiangsu1.iscro.cn:8000/analysis/20/behavior/ ,具体内存DUMP链接:http://server-jiangsu1.iscro.cn:8000/analysis/20/procmemory/
 
附:样本信息(除2.exe外均重命名过)
      2020-7-11-Sample1.chm   样本下载链接:http://virus-sample.hk.ufileos.com/2020-7-11-Sample1.chm   分析报告链接:http://server-jiangsu1.iscro.cn:8000/analysis/11/summary
MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512
cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e
CRC32 00000000
       
   

MD5 a0784274900ca21a226b72754c5fde51
SHA1 3f68da91616dc9351a3ee9d1d05ba13a4b7190b2
SHA256 1ccc087fd4ac40dd91018ace8abb2e45e05ab30f7bcb60ed8d97572eb19667f4
SHA512
86ed4b6a9132fc9ffb0d2524a058ec715bbc8f55cd5f65d68c0fc2733ee55f6ca7d14a235a54898444f2d7e1e629958deb1f22a623411be12c02e3f44d81f35c
CRC32 BEC7F69C
 

来源:freebuf.com 2020-07-13 17:59:55 by: 互联网安全民间响应组织ISCRO

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论