“PDF文件”內藏乾坤:木馬也用云技術
責編:admin |2015-03-17 11:37:31近期,我們在下載一份PDF文件時發現一枚簡單的惡意Downloader(一種病毒類型)。與其他惡意加載器不同,該惡意軟件在其二進制中加入了PE Loader。
肉雞上線了?
一旦執行,加載器就會抓取本地用戶的系統信息,然后生成一個URL,最后連接到一個服務器。
在上面的實例中,AVA****5(第一個被遮擋部分)是受害者的計算機名。緊接著后面的51-SP是系統的版本。
分析李鬼
加載器下載的這個文件雖然是PDF的后綴,但是文件中的內容卻與PDF文件大相徑庭。
這個加載器將0x74E7E1C8嵌入這個虛假的PDF文件中來進行掩飾。解密過后,如果長度和整個虛假PDF相同,那么加載器檢測offset 0×12雙字節的值。如果其與硬編碼的簽名0x2E0F1567 相同,那么就檢測位于offset 4的另外一個雙字節值。
加載器引導代碼調用云端加載器
在上面的代碼中,esi中包含了“PDF文件”的起始偏移地址,call eax實際將執行云端的加載器
我們可以看出offset 0×1134是RtlDecompressBuffer API的地址,調用API后,這個惡意PE文件就會出現,然后云端加載器使用一個小技巧來檢測MZ Header Signature。
在我們的分析過程中,我們發現這個惡意軟件在下載其他一些不同的惡意軟件,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.
總結
為何這個惡意軟件會將加載器從其二進制文件中移除呢?我們認為,這款惡意軟件是為了幫助攻擊者精減目標,同時云端加載器也方便惡意軟件作者在以后添加更多的功能。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)