FortiGuard实验室于近日发文称,他们在最近捕获了一封恶意的Microsoft Office Word文件,其中包含可自动执行的恶意VBA程式码,能够在受害者的Windows系统上安装NanoCore远控木马。
恶意Word文件分析
根据FortiGuard实验室的说法,被捕获的恶意文件被命名为“eml_-_PO20180921.doc”。在你开启它时,会在视窗顶部看到一个黄色的警告条,旨在诱使你点选“启用内容(Enable Content)”。一旦点选,恶意VBA程式码就会在后台执行。
FortiGuard实验室的分析表明,恶意VBA程式码只会做一件事——首先从网址“hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe”下载一个EXE档案并将其储存为“%temp% CUVJN.exe”,然后执行它。
CUVJN.exe是一个.Net框架程式,它的原始名称是“icce.exe”,但它不是真正的NanoCore木马。CUVJN.exe实际作用是解密资料,以获得一个新的PE档案。解密的PE档案是另一个.Net框架程式,它的原始名称是“dll.exe”。
dll.exe实际上是一个守护程序,它首先会建立一个互斥锁(Mutex),并检查该程序是否已经存在,以确保只会有一个该程序处于执行状态。然后,它会通过检测“snxhk.dll”模组是否来判定受害者的系统是否执行有Avast防毒软件(snxhk.dll是其模组之一)。如果Avast在执行的话,它则会对其进行解除安装。
接下来,它会执行与CUVJN.exe相似的活动,从资源部分载入一个gzip压缩档案。然后,对其进行解压缩,以获取一个PE档案,而这个PE档案才是真正的NanoCore 远控木马。
NanoCore远控木马分析
NanoCore实际上是一中在2013年首次被发现的远控木马,它能够在受害者的计算机上执行多种恶意操作,如登录档编辑、程序控制、许可权提升、档案传输、键盘记录、密码窃取等。
为了展示NanoCore的恶意功能,FortiGuard实验室的研究人员进行了一项测试。在测试中,
研究人员使用Chrome浏览器打开了一个网上银行网站,并在登入页面上输入了测试用的账号和密码。测试结果证实,由研究人员输入的所有内容全都被NanoCore获取到,并储存在“Logs”资料夹下的档案中。从这些档案的命名来看,它们试图伪装成Windows更新日志档案。
如何删除该恶意软件
FortiGuard实验室的研究人员表示,NanoCore受害者可以通过以下步骤来手动删除该木马:1)从系统登录档“HKCUSoftwareMicrosoftWindowsCurrentVersionRun”或“HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”(取决于Windows系统版本)中删除值“DHCP Manager”并储存该值的资料(如“%AppData%[随机字串]DHCP Managerdhcpmgr.exe”)供后续使用;
2)重新启动Windows系统;
3)删除资料夹“%AppData%MicrosoftWindowsScreenToGif”;
4)删除在步骤1中储存的资料夹。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上炼接。
