Top
首页 > 网络和信息安全 > 病毒木马 > 正文

“密锁二代”病毒分析报告

近期,曾经猖獗一时的“密锁”病毒已升级为“密锁二代”,电脑一旦中毒,硬盘中的所有办公文档、照片、视频等百余种文件将全部被深度加密
发布时间:2015-01-22 10:02        来源:        作者:子
【赛迪网-IT技术讯】近期,曾经猖獗一时的“密锁”病毒已升级为“密锁二代”,正以电子邮件的方式传播。该病毒已大面积入侵我国,电脑一旦中毒,硬盘中的所有办公文档、照片、视频等百余种文件将全部被深度加密,届时黑客将要求用户在96小时内向其支付8比特币(约合人民币1万元左右),否则将销毁密钥,文件将永久性损毁,且无法恢复。 1.样本信息 病毒会通过邮件附件传播,用户下载邮件附件打开后就会中毒。样本有多个变体,都为.src程序,运行后会打开屏幕保护设置,还会打开rtf文档达到欺骗性的目的。以下是样本图标截图跟样本运行后的截图。瑞星将之命名为Trojan.Win32.Filecoder.* 样本运行后截图:

2.分析样本 1..src程序只是一个引导程序,此程序有很多垃圾指令,阻碍样本分析,此程序开始自己解密自身代码,运行解密的代码,然后释放自身资源中所带的具有诱惑性的rtf文件并打开,让用户认为是很正常的程序。 2.之后程序会去指定网站下载真正的病毒样本,url下载地址有如下几个:
hxxp://breteau-photographe.com/tmp/pack.tar.gz
hxxp://voigt-its.de/fit/pack.tar.gz
hxxp://maisondessources.com/assets/pack.tar.gz
hxxp://jbmsystem.fr/jb/pack.tar.gz
hxxp://pleiade.asso.fr/piwigotest/pack.tar.gz
hxxp://scolapedia.org/histoiredesarts/pack.tar.gz
3.通过解密下载的压缩包,释放真正的病毒文件exe程序,并运行。 4.exe程序会拷贝自身到用户的%temp%/seqzdpm.exe目录,创建计划任务实现自启动。 5.设置注册表值
HKEY_CURRENT_USER\\Control Panel\Desktop
[WallpaperStyle] = [0]
[Wallpaper] = [%USERPROFILE%\My Documents\Decrypt All Files poztaei.bmp]
HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitB...
[IsUnicode] = [0x00000001]
HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[(NULL)] = [%temp%\seqzdpm.exe]
目的是为了显示勒索图片信息,并自身开机自启动。 6.将病毒代码注入svchost进程,在svchost中执行病毒体。注入的代码主要功能为遍历磁盘,查找文档,利用ASE算法将文件进行加密并以“原文件.几位随机字母”的格式更改文件名。 主要感染的文档有:doc,docx ,jpg,xls,xlsx,pdf等 7.改写文档,利用计算机启动时间,文件创建时间等作为随机种子生成KEY,再利用AES算法对文件进行加密。 8.最后修改桌面,显示勒索信息。以下是运行截图:

(责任编辑:钼铁)

专题访谈

合作站点
stat