夜色7737直播app,国产成人爱片免费观看视频,97国产精品最新

“PDF文件”內(nèi)藏乾坤：木馬也用云技術(shù)

責(zé)編：admin ｜2015-03-17 11:37:31

近期，我們在下載一份PDF文件時發(fā)現(xiàn)一枚簡單的惡意Downloader（一種病毒類型）。與其他惡意加載器不同，該惡意軟件在其二進(jìn)制中加入了PE Loader。

一旦執(zhí)行，加載器就會抓取本地用戶的系統(tǒng)信息，然后生成一個URL，最后連接到一個服務(wù)器。

在上面的實(shí)例中，AVA****5（第一個被遮擋部分）是受害者的計算機(jī)名。緊接著后面的51-SP是系統(tǒng)的版本。

加載器下載的這個文件雖然是PDF的后綴，但是文件中的內(nèi)容卻與PDF文件大相徑庭。

這個加載器將0x74E7E1C8嵌入這個虛假的PDF文件中來進(jìn)行掩飾。解密過后，如果長度和整個虛假PDF相同，那么加載器檢測offset 0×12雙字節(jié)的值。如果其與硬編碼的簽名0x2E0F1567 相同，那么就檢測位于offset 4的另外一個雙字節(jié)值。

加載器引導(dǎo)代碼調(diào)用云端加載器

在上面的代碼中，esi中包含了“PDF文件”的起始偏移地址，call eax實(shí)際將執(zhí)行云端的加載器

我們可以看出offset 0×1134是RtlDecompressBuffer API的地址，調(diào)用API后，這個惡意PE文件就會出現(xiàn)，然后云端加載器使用一個小技巧來檢測MZ Header Signature。

在我們的分析過程中，我們發(fā)現(xiàn)這個惡意軟件在下載其他一些不同的惡意軟件，比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.

為何這個惡意軟件會將加載器從其二進(jìn)制文件中移除呢？我們認(rèn)為，這款惡意軟件是為了幫助攻擊者精減目標(biāo)，同時云端加載器也方便惡意軟件作者在以后添加更多的功能。

文章來源：FreeBuf黑客與極客（FreeBuf.COM）