火绒安全团队截获蠕虫病毒，通过多介质传播牟取利益

1。概述

最近，安全团队拦截了一批蠕虫。这些病毒通过移动媒体（例如USB驱动器，移动硬盘驱动器和网络驱动器）传播。入侵计算机后，将远程下载各种病毒模块以赚取利润。这些下载包括特洛伊木马，采矿病毒等，并获得了约645个硬币（相当于60万元）。这种新型蠕虫病毒仍在更新，将来可能会发动更大的攻击。

该病毒早在2014年就出现，并且一直在国内外流传，海外蔓延远远超过了中国。根据对“ ”的监测，该病毒自2018年以来在中国迅速爆发，并且在不久的将来一直在不断蔓延。

草皮工程师发现，该病毒是通过可移动的存储设备（U磁盘，移动硬盘等）和网络驱动器传播的。被蠕虫感染后，该病毒将将原始文件隐藏在移动设备和网络驱动器中，并创建与磁盘名称和图标完全相同的快捷方式，以诱使用户单击。用户点击后，病毒将立即运行。

病毒运行后，它将首先通过C＆C远程服务器返回的控制命令将受感染的计算机分组，然后以目标方式获得相应的病毒模块，以执行破坏性和采矿。

病毒作者非常谨慎，使用混淆设备使用蠕虫病毒和下载的所有病毒模块，因此很难被安全软件检测到它。同时，它下载的采矿病毒只有在用户的计算机闲置时才会挖掘，并且占据了CPU资源非常低并且非常隐藏。

不仅如此，该病毒还会在受感染设备或网络驱动器的根目录中删除可疑文件，以确保只有本身才能输入用户的计算机。可以看出，该病毒旨在长期占用用户计算机来赚取利润，并且尚未排除其他恶性病毒（例如勒索软件）将来会远程分发。

“ 软件”可以截获并杀死病毒而无需升级。

2。样本分析

最近，草皮拦截了一批蠕虫样品，这些样品主要是通过网络驱动器和可移动存储设备传输的。该病毒最初于2014年左右出现。起初，该病毒在海外传播，中国的感染数量非常有限。进入2018年后，中国的感染数量迅速增加并逐渐显示出迅速爆发。在执行病毒代码后，将根据远程C＆C服务器返回的控制命令执行指定的恶意逻辑，甚至可以将其他病毒代码直接派发到本地计算机进行执行。在此阶段，我们发现我们正在分发的病毒计划包括：采矿病毒，盗窃木马等。

恶意病毒代码操作和传播的流程图

该病毒使用许多C＆C服务器地址，并且随着样品继续更新，它仍在进行更新。让我们以一些C＆C服务器地址为例。如下图所示：

C＆C服务器地址

该病毒将自身复制到可移动的存储设备和网络驱动器，并且病毒程序和脚本分别命名为.exe和.vbs。下图显示了被病毒感染后的目录：

被病毒感染后的目录（顶部是可移动的存储设备，底部是网络驱动器）

草皮捕获的蠕虫病毒样品都使用相同的混淆器，并且在这里均匀分析了它们使用的混淆器，并且不会在下面进行详细描述。它使用的混淆器将使用大量毫无意义的字符串或数据来调用不同的系统功能，并使用此方法实现其混淆目的。混淆器相关的代码如下图所示：

混淆代码

中使用了大量与上图中类似的垃圾代码，并且用于还原和加载原始PE图像数据的关键逻辑代码也插入了此垃圾代码中。恢复加载原始PE数据的相关代码，如下图所示：

还原加载原始PE图像数据的相关代码

上述代码完成后，将调用加载原始PE图像数据的相关代码逻辑。加载原始PE图像数据的代码将首先获得，功能地址和当前过程模块基础地址，然后获得其他关键功能地址。解密的相关代码如下图所示：

解密的加载代码

使用LZO算法（-ZIV-）压缩原始的PE图像数据。减压后，几乎映射了原始的PE图像，对导入表进行了修复并重新定位数据，并将执行原始的恶意代码逻辑。相关代码如下图所示：

调用解压缩和虚拟映射相关代码

蠕虫病毒

病毒的总体逻辑分为两个部分，即传输和后门逻辑。病毒的传播仅针对可移动的存储设备和网络驱动器。一组病毒文件将在受感染的可移动存储设备或网络驱动器根目录中发布，并通过诱导用户单击或使用系统的自动播放功能开始。如下图所示，蠕虫病毒通过穿越磁盘传播的相关逻辑代码：

遍历磁盘传播

已发布的病毒文件和文件描述如下图所示：

发布病毒文件和文件说明

蠕虫将通过将垃圾代码随机插入病毒vbs脚本中，以与安全软件作斗争。发布的VBS脚本将首先关闭当前的窗口，然后在磁盘的根目录中打开“ _”文件夹，最后执行病毒程序。释放病毒VBS脚本相关逻辑，如下图所示：

发布病毒VBS脚本相关逻辑

除了释放病毒文件外，病毒还将根据扩展名中的磁盘根目录中删除可疑文件（删除时将排除自身发布的病毒文件）。删除文件的后缀名称如下图所示：

删除文件后缀名称

当病毒释放文件时，它还将将根目录中的所有文件移至病毒创建的“ _”目录。除了病毒发布的快捷方式外，其他病毒文件的属性设置为隐藏。用户打开受感染的磁盘后，他只能看到与磁盘名称和图标完全相同的快捷方式，从而诱使用户单击。快捷方式指向的文件为.vbs，并且VBS脚本函数如上一篇文章所述。通过这些方法，可以执行病毒代码，同时避免用户的意识。

已发布的病毒文件列表

如下图所示，释放蠕虫病毒的快捷方式：

蠕虫释放的快捷方式

该病毒的后门逻辑将通过与C＆C服务器的IRC通信执行。恶意代码将根据当前的系统环境将当前受控终端添加到不同的数据包中，然后通过数据包通信控制属于不同数据包的终端。病毒用于组的信息包括：语言区域信息，当前的系统平台版本为X86或X64，当前用户权限等。后门代码中最重要的恶意功能是下载和执行远程恶意代码，然后使用该病毒创建的自启动项目，以使病毒启用用户的计算机依靠并执行任何端次的端子，以执行任何对照端的端子。该病毒将首先使用用户的语言区域信息和随机数来生成用户ID，然后将Nick和用户通信命令发送到C＆C服务器。随机用户ID将在nick通信命令中注册为名称。此操作用于受控终端进行在线。相关代码如下图所示：

在线控制终端的相关代码

从上图，我们可以看到该病毒使用的C＆C服务器列表中有许多域名和IP地址，其中很大一部分是无效的域名和地址，主要用于混淆安全研究人员。受控终端在线之后，将从C＆C服务器获得控制说明以进行执行。病毒可以根据不同的系统环境对当前控制的终端进行分组，分组基础包括：语言区域信息，当前用户权限和系统平台版本信息（x86/x64）。此外，病毒还可以使用控制命令通过访问IP查询网站（）严格限制恶意代码的传播。主要控制命令和命令函数如下图所示：

主控制命令和命令功能描述

主要后门控制相关代码如下图所示：

后门控制代码

该病毒将以随机的文件名释放向％temp％目录远程请求的恶意代码。相关代码如下图所示：

下载并执行远程恶意代码

采矿病毒

该病毒发送了许多恶意代码，因此这次我们只会以采矿病毒为例。在此次执行截获的采矿病毒后，当计算机计算资源闲置时，将开采，这对于普通用户来说很难检测到。在捕获的样品中，我们发现该病毒发送的所有恶意代码都使用与蠕虫病毒相同的混淆器。通过恢复和加载作为一个示例来比较原始的PE数据代码，如下图所示：

混淆器代码的比较图（左侧是发送到终端的采矿病毒，右侧是蠕虫病毒）

在运行采矿病毒的原始恶意代码之后，该病毒本身将被复制到C：\ Users \用户名\\\。Exe位置和计划的任务将每分钟执行一次。病毒会产生静音。通过检测静音，可以保证系统中的病毒过程实例是唯一的。之后，该病毒将使用挖掘参数来启动自己的程序，并将挖掘程序（XMRIG）PE图像数据注入新启动的过程以执行采矿逻辑。如下图所示，草皮行为沙箱中的采矿病毒行为：

采矿病毒行为

如上图所示，采矿计划的CPU入住率为3％，通过检测系统的空闲信息，它将不断检测CPU入住率是否过高。如果太高，则将重新启动采矿过程。通过遍历该过程，检查任务管理器进程（.EXE）是否存在。如果存在，将停止采矿。任务管理过程退出后，将继续采矿逻辑。病毒通过上述方法改善了病毒本身的隐藏，从而确保病毒可以尽可能长时间地驻留在感染计算机中。相关代码如下图所示：

采矿逻辑控制代码

尽管该病毒严格控制了采矿效率，但由于该病毒的感染数量大量，总共开采了约645个硬币。根据硬币的当前价格，它超过60万元。病毒使用的钱包帐户的交易信息如下图所示：

帐户交易信息由病毒使用

iii。附录

本文涉及的样本：