安全通告
近日,亞信安全截獲了ZEGOST木馬最新變種文件,ZEGOST 最初是在2011年被發現的,至今已經歷了多次迭代更新,本次截獲的最新變種刪除了挖礦模塊,採用了白加黑技術逃避殺軟檢測,更加隱蔽地竊取用戶信息。亞信安全將其命名為Trojan.Win32.ZEGOST.G。
攻擊流程
病毒詳細分析
主體文件分析
病毒的主體程序是用C++編寫,其會檢測dbghelp.dll文件。
病毒會檢測內存中正在運行的安全軟體的相關進程:
360tray360sd.exeQQPCTray
通過外鏈釋放病毒文件,外鏈地址經過解密得到,下圖為加密字符串,有的變種會在此模塊中加入挖礦的模塊執行挖礦程序。
把加密的字符串載入內存後解密得出以下地址:
i. http://4i7i.com/11.exe,在計算機中釋放11.exe文件。
ii. 在文件夾C:\WINDOWS\ime\下釋放病毒文件。
iii. 釋放Calc.exe。
亞信安全DDAN產品能夠檢測釋放的文件及惡意外鏈地址。
11.exe分析
在help目錄下釋放文件helpsvc.exe,並置隱藏屬性。
在註冊表中註冊服務,並把路徑設置為helpsvc.exe。
通過修改註冊表start的值,從而達到禁用Lanmanserver和Winmgmt服務的目的。
通過禁用Lanmanserver可以禁止此計算機通過網絡的文件、列印、和命名管道共享。
利用cacls命令限制system帳戶的訪問權限。
釋放active_desktop_render.dll和winlogon文件。
自刪除。
組件wmpnetwp.exe分析
此文件主要是用來調用svchost.exe去執行外鏈,連接C2C伺服器。其也是遠控工具,用來執行截屏、傳輸音頻等操作。
C2C伺服器地址:
停止sql服務。
入侵svchost.exe與C2C進行交互。
找到自身所在目錄,備份自身文件,並以隨機字符串命名,隨後刪除自身。
隨後調用Createfile函數重新生成wmpnetwp.exe。
為了防止被刪除,其會設置自身的屬性為只讀和隱藏。
其具有截屏功能。
音頻傳輸功能。
組件winlogon分析
此病毒利用了白加黑的技術逃避檢測,讓受害者不能輕易發現病毒。Winlogon.exe為白加黑中的白文件。
winlogon.exe利用了組件active_desktop_render.dll中的函數setDesktopMonitorHook。黑客通過篡改active_desktop_render.dll文件,竊取用戶計算機中的信息。
組件active_desktop_render.dll分析
active_desktop_render.dll中的setdektopmonitorhook主要用於hook用戶鍵盤滑鼠事件以及收取用戶信息。
亞信安全產品解決方案
安全建議
及時更新病毒碼版本;打開系統自動更新,並檢測更新進行安裝;不要點擊來源不明的郵件以及附件;不要點擊來源不明的郵件中包含的連結;請到正規網站或者應用商店下載程序;採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;儘量關閉不必要的埠;儘量關閉不必要的網絡共享。
IOC
SHA-1:
7C5329229042535FE56E74F1F246C6DA8CEA3BE8
E0A40F067C4A3E0F9874B68055B476B6CF520255
3C6754753ACBED4DA8358045CFA28D19F31DF85A
771DBA6597DA428A985CF1DCD4F54C41610C28F4
7C5329229042535FE56E74F1F246C6DA8CEA3BE8