简述
在反病毒领域,CallWindowProc执行Shellcode的方法早在2009年就有过讨论,近期360QEX引擎团队发现有宏病毒首次使用该方法,传播敲诈者勒索软件。
常见的宏病毒释放(下载) PE 文件,并执行的方法有:
数据来源步骤:PE 数据来源网络(downloader),或数据来源自身病毒文档(dropper);
数据执行步骤:执行 PE 使用的方式 Application.Shell 或者 Wscript.shell 或者 Win32 CreateProcess。
而最新出现的样本与上述方式方法不同,由宏代码生成内存数据(为shellcode,并非直接的 PE 文件数据),并利用CallWindowProc来执行Shellcode,由Shellcode完成后续操作。
病毒样本:
MD5: cec4932779bb9f2a8fde43cbc280f0a9
SHA256: efd23d613e04d9450a89f43a0cfbbe0f716801998700c2e3f30d89b7194aff81
样本详细分析
源文档宏代码被混淆,并填充了垃圾代码,对宏代码进行简化后,如下,
分析该宏代码,得到的执行步骤有,
1、 获取窗体控件中预存的字符串数据;
2、 进行数据解码;
3、 申请内存空间,将数据以二进制形式复制到此内存空间;
4、 使用 CallWindowProc 执行 shellcode (二进制数据)。
步骤 4 a) 使用 CallWindowProc 执行二进制数据
步骤 4 b) 从Windbg 查看 CallWindowProc 调用
Shellcode分析
二进制数据中同时存在32和64位的shellcode,32位的偏移于0x08A6,64位的偏移于0x0240处;
下面以32位版本为例分析:
首先,根据CallWindowProc调用shellcode时第二个参数为文档自身路径,Shellcode中打开文档,并在文档中寻找二进制标志串“50 4F 4C 41”,然后对标志后的0x142AC(图中硬编码)个字节进行第一次解码,解码算法是对每个字节先加3然后异或0x0D;
第一次解码后的数据:
Base 解码后的数据,从标志可以判断该二进制数据是一个PE:
接着创建文件并写入解码后的数据,其文件路径为:
32位下:”%TMP%\gg771.exe”
64位下:”%TMP%\kt622.exe”
文件释放完成后,调用API CreateProcessA创建进程:
释放的PE文件MD5为: cc05867751b1de3cab89c046210faed4。
安全建 1.戴手表是严谨的体现:常常可以看到身边的商务人士,配有功能齐全的商务手机,但在他们的衬衫袖口处,依然会有一只手表戴于腕间。2、戴手表是审美的需要:从审美的角度看,佩戴手表也是为服饰搭配增色添彩。不同的服饰配搭不同的手表,也是品质生活细节的体现。3、戴手表是一种态度:戴手表的人,说明其重视时间,办事效率很高,这也是很多老板选择一个戴手表的见工者的原因。戴手表是一种身份和自信的象征:戴上手表首先给人的感觉是这个人很有时间观念,做事是很讲究效率。男人一旦给人一种这样的感觉,那么在与人沟通的时候,就会让人感到信任,成功的机会也就随之增大。手表不同于服装,但手表可以体现出男士朋友的独特的品位,好的品牌手表做工精细,造型考究,戴上一只精制的腕表,给你的身份和仪表加分。议
鉴于近期宏病毒变种多携带敲诈者病毒通过垃圾邮件传播,更新频繁,360杀毒和安全卫士内置的QEX引擎已对此进行了针对性防御,建议用户开启安全软件的实时防护功能,不随意点击垃圾邮件中的链接和附件,能够降低中招的风险。
参考:
1、https://github.com/decalage2/oletools
2、http://www.freebuf.com/articles/web/11662.html
3、http://m.2cto.com/kf/200908/40688.html
4、https://msdn.microsoft.com/en-us/library/windows/desktop/ms633571(v=vs.85).aspx
但cosc 仍然依照19 世纪末为怀表机芯制定的以噪声和温度为准的测试标准来评价腕表。ISO3159天文台认证完全是因为瑞士制表业而发展起来,制定了已经有超过四分之一个世纪,95%的送测机芯通过了cosc 认证。现在难道不应该升级标准和测试程序了吗?原因是英国、法国和德国不再参与制定ISO 委员会的计时器标准,将瑞士丢给了少数反3 ]/ \,对派的印 度、日本和中国。假如瑞士试图改变ISO3159 标准,那么这三个国家会对这样的标准进行阻挠以至于机械机芯将会不复存在。这意味着天文台机械表的完结以 及cosc 和瑞士制表工业的市场消失。为何cosc 的评价不是依照性能对民用表客观的估价和测试始于铁路时代,当时人们对计时器品质的信赖变得极为重要。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-90635.html
