感謝火絨安全的投遞

火絨安全團隊發出警告,近日,一批新型宏病毒正通過Excel文件傳播,該病毒入侵電腦運行后,會悄悄訪問帶有推廣計費名的2345網址暗刷流量,并且還會感染電腦上其它的Excel文件,然后通過這些文件傳播給其它電腦,被感染的Excel文件打開后會出現“安全警告 宏已被禁用”的提示。

分析顯示,該病毒會調用IE瀏覽器來訪問帶有推廣計費名的2345導航網址。而且,該病毒異常狡猾,為了提升自己的隱蔽性,在刷流量前會先檢測用戶是否開啟IE瀏覽器進程。如果沒有,則主動開啟微軟官方頁面,讓用戶誤把病毒刷流量的進程當成官方頁面進程,從而避免被關閉。

火絨工程師提醒大家,由于Excel文件是工作、學習中常用文件,極易導致該病毒在公司、學校等范圍內快速傳播,請廣大用戶及時做好防范工作。火絨用戶無需擔心,火絨產品最新版即可查殺該病毒。

附【分析報告】:

一、樣本分析

近期,火絨截獲到一批宏感染型樣本,該病毒運行后會隱藏訪問帶有推廣計費名的2345導航網址暗刷流量,并且還會感染其他Excel工作簿文件。被感染文檔打開后,都會出現如下圖所示:

被感染文檔

被感染文檔中會出現宏病毒代碼,如下圖所示:

病毒宏代碼

該病毒為了提高自身隱蔽性,在暗刷流量前還會檢測IE瀏覽器進程是否存在,如果不存在則會先啟動微軟Office官方頁面(https://products.office.com/zh-CN/),通過此方法讓用戶誤以為暗刷流量的IE瀏覽器進程與剛剛被啟動的IE瀏覽器有關。在準備工作完成后,病毒代碼會通過ActiveX對象調用IE瀏覽器訪問帶有推廣計費名的2345導航網址。因為通過這種方式被宏腳本調用的其他程序啟動時都是隱藏的,所以普通用戶不會有所察覺。相關代碼,如下圖所示:

暗刷流量相關代碼

暗刷流量時的進程樹,如下圖所示:

進程樹

通過窗體控制工具可以顯示IE瀏覽器窗體,如下圖所示:

暗刷流量的IE瀏覽器窗體

病毒感染相關代碼執行后,會先在XLSTART目錄下創建名為authorization.xls的Excel文檔,并將病毒代碼前100行插入到該文檔的宏模塊中,之后續追加的病毒函數調用代碼,使authorization.xls主要為用來感染其他Excel文檔。authorization.xls被創建后,所有被啟動的Excel文檔都會加載執行該宏病毒代碼。相關代碼,如下圖所示:

在XLSTART目錄中釋放病毒宏文檔

在XLSTART目錄中被創建的病毒Excel文檔

當有其他Excel文檔被打開時,如果當前文檔ThisWorkbook宏模塊前10行中存在“update”、“boosting”、“person”關鍵字,則會將ThisWorkbook宏模塊中的原始代碼刪除,刪除行數與病毒代碼行數相同。之后,將病毒宏代碼前100行插入到ThisWorkbook宏模塊中,再加入相關調用代碼。被追加的調用代碼決定被感染的Excel主要會釋放authorization.xls、暗刷流量。相關代碼,如下圖所示:

感染代碼

二、附錄

樣本hash:

訪問:

立即注冊.com域名 為我的品牌代言!

5·17電信日 翼起加速上云!18800元加速優惠包一鍵領取

責任編輯:ugmbbc

對文章打分

新型宏病毒通過Excel傳播 暗刷2345網址站牟利

2 (4%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    新品速遞

    熱門評論

      相關文章

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 内蒙古快3走势图表 姚记棋牌网页版 江西快3 2020欧洲杯赛程 上海期货配资多少钱 31选7中三个号有中奖吗 欧联杯和欧冠区别 今天股票跌还是涨 挂机赚钱 北京快乐8开奖视频网易 天天红包是不是真的 辽宁快乐12手机版 福建快3开奖结果查询走势图 平码公式规律算法 临汾麻将硬三嘴规则 四人单机麻将 陕西11选5分析预测