感謝火絨安全的投遞

火絨安全團隊發出警告,近日,一批新型宏病毒正通過Excel文件傳播,該病毒入侵電腦運行后,會悄悄訪問帶有推廣計費名的2345網址暗刷流量,并且還會感染電腦上其它的Excel文件,然后通過這些文件傳播給其它電腦,被感染的Excel文件打開后會出現“安全警告 宏已被禁用”的提示。

分析顯示,該病毒會調用IE瀏覽器來訪問帶有推廣計費名的2345導航網址。而且,該病毒異常狡猾,為了提升自己的隱蔽性,在刷流量前會先檢測用戶是否開啟IE瀏覽器進程。如果沒有,則主動開啟微軟官方頁面,讓用戶誤把病毒刷流量的進程當成官方頁面進程,從而避免被關閉。

火絨工程師提醒大家,由于Excel文件是工作、學習中常用文件,極易導致該病毒在公司、學校等范圍內快速傳播,請廣大用戶及時做好防范工作。火絨用戶無需擔心,火絨產品最新版即可查殺該病毒。

附【分析報告】:

一、樣本分析

近期,火絨截獲到一批宏感染型樣本,該病毒運行后會隱藏訪問帶有推廣計費名的2345導航網址暗刷流量,并且還會感染其他Excel工作簿文件。被感染文檔打開后,都會出現如下圖所示:

被感染文檔

被感染文檔中會出現宏病毒代碼,如下圖所示:

病毒宏代碼

該病毒為了提高自身隱蔽性,在暗刷流量前還會檢測IE瀏覽器進程是否存在,如果不存在則會先啟動微軟Office官方頁面(https://products.office.com/zh-CN/),通過此方法讓用戶誤以為暗刷流量的IE瀏覽器進程與剛剛被啟動的IE瀏覽器有關。在準備工作完成后,病毒代碼會通過ActiveX對象調用IE瀏覽器訪問帶有推廣計費名的2345導航網址。因為通過這種方式被宏腳本調用的其他程序啟動時都是隱藏的,所以普通用戶不會有所察覺。相關代碼,如下圖所示:

暗刷流量相關代碼

暗刷流量時的進程樹,如下圖所示:

進程樹

通過窗體控制工具可以顯示IE瀏覽器窗體,如下圖所示:

暗刷流量的IE瀏覽器窗體

病毒感染相關代碼執行后,會先在XLSTART目錄下創建名為authorization.xls的Excel文檔,并將病毒代碼前100行插入到該文檔的宏模塊中,之后續追加的病毒函數調用代碼,使authorization.xls主要為用來感染其他Excel文檔。authorization.xls被創建后,所有被啟動的Excel文檔都會加載執行該宏病毒代碼。相關代碼,如下圖所示:

在XLSTART目錄中釋放病毒宏文檔

在XLSTART目錄中被創建的病毒Excel文檔

當有其他Excel文檔被打開時,如果當前文檔ThisWorkbook宏模塊前10行中存在“update”、“boosting”、“person”關鍵字,則會將ThisWorkbook宏模塊中的原始代碼刪除,刪除行數與病毒代碼行數相同。之后,將病毒宏代碼前100行插入到ThisWorkbook宏模塊中,再加入相關調用代碼。被追加的調用代碼決定被感染的Excel主要會釋放authorization.xls、暗刷流量。相關代碼,如下圖所示:

感染代碼

二、附錄

樣本hash:

訪問:

立即注冊.com域名 為我的品牌代言!

5·17電信日 翼起加速上云!18800元加速優惠包一鍵領取

責任編輯:ugmbbc

對文章打分

新型宏病毒通過Excel傳播 暗刷2345網址站牟利

2 (4%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    新品速遞

    熱門評論

      相關文章

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 安徽11选5走势图一定牛 甘肃快3开奖号 追光娱乐棋牌游戏app 江西多乐彩是什么意思 最新最靠谱的棋牌游戏 免费打麻将游戏 2019广西快乐双彩开奖结果 浙江6+1开奖软件 今天25选5开奖视频 10分11选5在线计划 游戏麻将单机版 德甲在线直播 广西游玩十三张官网下载 广东麻将技巧 今日云南十一选五 闲来广东麻将推倒胡 南方双彩软件官方下载