木马病毒之office漏洞利用
1.样本概况
1.1 样本信息
MD5值:a427f9c4bc85b1657e15b42b05f54c50
SHA1值:583bd0326c3127912898ec16c9099bc1d339835a
CRC32:8127a483
病毒行为:利用Office漏洞释放exe文件,在exe文件中创建服务,启动DLL与外界进行通讯。
1.2 测试环境及工具
测试环境:win7
工具:火绒剑、PEID、OllyDebug、IDAPro
1.3 分析目标
1、病毒运行的具体方式
2、查杀病毒
2.具体行为分析
2.1 主要行为
与外界进行通讯,获取目标主机的信息。
2.2 恶意代码分析
1、拿到样本,发现是一个doc文件,双击运行,出现如下图界面。
2、将样本利用火绒剑对其进行附加,监视其具体行为。发现其最终创建并运行起来一个exe文件。猜测可能是利用了office软件的漏洞。
3、打开office软件并利用Ollydbg附加office。进行动态调试,可见该病毒利用缓冲区溢出漏洞,通过jmp ESP跳到病毒本身的shellcode上面。
4、单步跟踪漏洞函数。发现先通过解密操作解密出真正的ShellCode,该ShellCode最终在C:\user\用户名\APPData\Local\Temp目录下创建hkcmd.exe文件,对文件进行写入,然后运行文件。
5,接下来找到exe所在的文件夹,先用PEID工具进行查壳,发现没有加壳,直接利用OllyDbg进行动态调试。
该exe文件首先创建一个DLL文件并拷贝到了系统目录下。
通过服务一系列的对服务管理器的操作最终,创建了一个服务。并且设置服务的属性为开机自启。此外还设置了键值。
6、对Dll文件进行分析,在一开始进行键值的查询如果有ServiceStartAddr这个键值就会删除exe文件。
继续跟下去发现一个关键函数。这个函数通过大量的字符串拼接、拷贝操作,以及获取本机IP地址、mac地址、进行Http网络通讯传输文件,并且最后创建了3个线程。
第一个线程:创建文件,读取文件,并将内容发送到指定服务器上面。
第二个线程:创建文件,从服务器上获取信息,并写入文件。
第三个线程:对文件进行处理操作。
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
特征:病毒文件MD5: 52E3DDB2349A26BB2F6AE66880A6130C