• :
  • 云南某医院多台电脑被感染,金山毒霸第一时间提供恢复方案-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] 云南某医院多台电脑被感染,金山毒霸第一时间提供恢复方案

    [复制链接]

    该用户从未签到

    发表于 2018-9-14 14:51:47 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x

    0x1 事件概述

    不久前,金山毒霸安全实验室接到云南省某医院的求助。其单位20多台电脑中病毒,重要资料全部变成后缀为exe的可执行文件。随后,金山毒霸反病毒专家分析其提供的病毒样本,在第一时间作出修复工具,帮助恢复数据,并提供安全防护建议,加固办公 安全。

    0x2 病毒原理

    类型

    该病毒属于典型的感染型病毒,主要包含两个功能:感染图片和文档,远程控制。

    手法

    该病毒运行时会扫描电脑中所有后缀为doc/xls/jpg/rar 的文件,将其感染为可执行的exe病毒文件。当用户打开被感染的文件时,会将原来的文件释放并打开,并在后台悄悄运行病毒,达到持续远控和存活的目的。这样,用户打开被感染的文件时,仍然能看到原先的文件内容,但是木马程序已在系统中运行,会对系统造成持续的破坏。

    传播

    该病毒主要通过U盘在内网中传播,外网环境感染量不大。

    0x3 详细分析

    病毒流程图
    1.png

    远控模块

    该病毒的远控协议比较简单,通过socket连接服务器,然后根据返回的指令执行相应的操作,包括关机,弹窗,感染文件,添加用户,释放文件和自删除。
    2.png


    感染逻辑

    该病毒感染文件的逻辑也比较简单,把将要的感染的文件直接放在自身exe的后面,然后把文件的大小在磁盘偏移 0x404处,文件格式写在磁盘偏移 0x40C 处;之后再根据文件格式,在资源表中找到相应的图标,将感染的文件设置成该图标,回写并重命名为后缀exe的文件。
    3.png

    如图,感染后的exe 在0x404 和 0x40C 的偏移内容如下。这表示被感染的原文件大小为0x95ED,文件格式为jpg。而在设置的0x400 处的11111111 ,以及0x408 处的 22222222  则表示该文件已被感染。
    4.png


    添加用户

    通过执行X.bat脚本方式创建用户。
    5.png


    自删除

    同上,也是通过创建和执行X.bat脚本的方式。
    6.png


    0x4 安全建议

    金山毒霸安全专家建议各企业和单位,不要随意退出杀毒软件,不要随意打开可疑文档和来源不明的文件,平时做好U盘杀毒防护,不随便打开陌生邮件和下载其中的附件。目前,金山毒霸可查杀此类病毒,如有遇到相关问题的用户,请联系毒霸工程师(QQ:800042100),我们将提供免费服务。
    QQ图片20180914150930.png
    毒霸查杀此类病毒截图

    安全豹 微信公众号.jpg

    使用道具 举报 回复
    有遇到该病毒困扰的单位和用户,请联系毒霸工程师,我们将免费提供修复服务!
    使用道具 举报 回复 支持 反对
    不久前,金山毒霸安全实验室接到云南省某医院的求助。其单位20多台电脑中病毒,重要资料全部变成后缀为exe的可执行文件。随后,金山毒霸反病毒专家分析其提供的病毒样本,在第一时间作出修复工具,帮助恢复数据,并提供安全防护建议,加固办公 安全。
    使用道具 举报 回复 支持 反对
    病毒类型:该病毒属于典型的感染型病毒,主要包含两个功能:感染图片和文档,远程控制。
    使用道具 举报 回复 支持 反对
    病毒手法:
    该病毒运行时会扫描电脑中所有后缀为doc/xls/jpg/rar 的文件,将其感染为可执行的exe病毒文件。当用户打开被感染的文件时,会将原来的文件释放并打开,并在后台悄悄运行病毒,达到持续远控和存活的目的。这样,用户打开被感染的文件时,仍然能看到原先的文件内容,但是木马程序已在系统中运行,会对系统造成持续的破坏。
    使用道具 举报 回复 支持 反对
    病毒传播:
    该病毒主要通过U盘在内网中传播,外网环境感染量不大。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则