一、 样本基本信息

样本名称:927354529512.scr

样本大小:110592 字节

病毒名称:Win32.Trojan.Ctb-locker.Auto

样本MD5值:3A6D7E551C132AC4C40D95394938F266

二、 样本脱壳

该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的,和前面提到的情况一样,病毒依然在程序的代码指令中加入了比较多的垃圾指令,有可能是敲诈者病毒的心态有点急了。4月份出现的敲诈者病毒没之前的病毒的加固措施做得好,但是病毒脱壳的方法和前面博客提到的一样,依然是在函数VirtualProtect和 VirtualProtectEx的地方下断点,实现一键手动Dump脱壳。

三、 样本行为预览

1.   在临时文件目录创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wujip.cab,其中.cab文件的名称是随机产生的,解压提取该.cab文件的.rtf文件并修改.rtf文件名称与当前模块的名称相同,然后运行该.rtf文件迷惑用户。

2.   解密字符串生成下载病毒的网址,与下载病毒的网址进行网络连接,获取需要的网络数据,基于这些网络数据在系统临时文件目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下生成guroga.exe病毒文件,并且.exe病毒文件的名称是随机产生的,然后运行guroga.exe病毒文件并删除guroga.exe病毒文件,加密用户文档等资料的正是下载的guroga.exe病毒文件。

3.   下载病毒的网址,如下:


lasertek.com.sg/icon/run.jpg

shaneproject.org.uk/docs/run.jpg

vesterlin.eu/stats/run.jpg

empuriadata.es/run.jpg

puntocan.com/derutamadre/run.jpg

finam.net/run.jpg

lars-laursen.dk/joomla/run.jpg

malagadetectives.es/images/run.jpg

4.    CTB-Locker敲诈者病毒下载器连外网下载病毒的行为是循环进行的,只要有一次连外网下载加密用户文档等资料的病毒文件成功并运行,它就会退出进程,如果没有下载加密病毒成功,它继续连外网进行病毒的下载行为。在调试的过程发现, CTB-Locker敲诈者病毒下载器下载到系统临时文件目录的病毒文件目前发现的有3种分别是981kb、743kb、851kb,从CTB-Locker敲诈者病毒出现以来,这3个加密用户文档等资料的病毒文件是没有变化的,只是名称是随机的。

四、 样本行为具体分析

1.   获取系统的临时文件路径以及获取当前模块中的"DATA"类型的资源。

2.   在系统临时文件路径下创建名称随机的.cab文件如:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zoviqagyh.cab。

3.   调用函数SetupIterateCabinetW解压.cab文件,获取.rtf文件并运行该与当前模块同名的.rtf文件。

4.   创建互斥量"xgheaouo",防止下载病毒的行为重复进行。

5.   解密内存字符串得到下载加密病毒的网址,连接外网下载加密用户文档资料的病毒文件的数据。

6.   获取到病毒文件的数据以后,在系统临时文件目录下,创建C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zivyke.exe加密用户资料的病毒文件,运行该下载的病毒文件zivyke.exe以后,删除该下载的加密病毒文件zivyke.exe。

五、 在线病毒扫描的

样本的扫描结果:http://r.virscan.org/report/0a8f8426e8a5a1d40134c0ecb968d519

由于 CTB-Locker敲诈者病毒下载器文件的代码指令中有很多的垃圾指令的干扰,导致这种病毒的特征码的提取有难度,因此,在线病毒扫描的结果中发现,有很多的病毒引擎是没有识别出该病毒样本的,卡巴斯基都没能鉴别出。值得一提的是,当初CTB-Locker敲诈者病毒第一次出现的时候,没有一个病毒引擎捕捉到该病毒的出现。

六、  CTB-Locker敲诈者病毒的防范

(1)重要数据做好日常备份,如开启windows备份、采用企业网盘等;

(2)及时更新安全软件防范病毒,防止文件被误删;

(3)为保护数据安全,每年进行一次常规网络安全培训,增强安全意识。如建议大家不要点击陌生人发来的 exe、 scr 等可执行程序、链接、邮件,用邮箱随意注册网上的账号等;

(4)协防建议---网络出口边界处:考虑到中毒后,会自动连接外网IP下载恶意木马,建议在网络边界安全设备开启URL信誉库做拦截。这样即使中了,局域网内的恶意软件影响程序会减轻,达到通过设备日志实现事件追溯的效果

转载请保留博客地址:http://blog.csdn.net/qq1084283172/article/details/45767973

CTB-Locker敲诈者病毒下载器分析的更多相关文章

  1. CTB-LOCKER敲诈者病毒下载器脱壳之样本1

    一.病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分.病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载 ...

  2. Android敲诈者病毒“安卓性能激活”分析(2015年9月版)

    一.情况简介 前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒.说句题外话, 根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现&q ...

  3. Android最新敲诈者病毒分析及解锁(11月版)

    一.样本信息 文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk 文件大小:1497829字节 文件类型:application/jar 病毒类型:Android.CtLocker 样本包 ...

  4. Android最新敲诈者病毒分析及解锁

    一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...

  5. 用python实现的百度音乐下载器-python-pyqt-改进版

    之前写过一个用python实现的百度新歌榜.热歌榜下载器的博文,实现了百度新歌.热门歌曲的爬取与下载.但那个采用的是单线程,网络状况一般的情况下,扫描前100首歌的时间大概得到40来秒.而且用Pyqt ...

  6. .NET破解之图片下载器

    自去年五月加入吾爱后,学习了三个月,对逆向破解产生了深厚的兴趣,尤其是对.NET方面的分析:但由于这一年,项目比较忙,事情比较多,破解这方面又停滞了许久,不知道还要好久. 前些天,帮忙批量下载QQ相册 ...

  7. .NET破解之太乐地图下载器【非暴破】

    不知不觉,接触破解逆向已经三个月了,从当初的门外汉到现在的小白,这个过程只有经历过才知道其中的苦与乐: 有无知.困惑.痛苦.惊喜.彻悟.欣慰…… 有无助的软件脱壳,茫然的代码分析,有无趣的反复测试, ...

  8. 【图文详解】python爬虫实战——5分钟做个图片自动下载器

    python爬虫实战——图片自动下载器 之前介绍了那么多基本知识[Python爬虫]入门知识,(没看的先去看!!)大家也估计手痒了.想要实际做个小东西来看看,毕竟: talk is cheap sho ...

  9. Python实战:美女图片下载器,海量图片任你下载

    Python应用现在如火如荼,应用范围很广.因其效率高开发迅速的优势,快速进入编程语言排行榜前几名.本系列文章致力于可以全面系统的介绍Python语言开发知识和相关知识总结.希望大家能够快速入门并学习 ...

随机推荐

  1. C#正则实现匹配一块代码段

    最近项目,生成聚合网关,但是生成的网关文件中,存在着不必要的代码段,比如一个类A,类B等 之前一直使用手动删除,这么做劳民伤财,浪费时间,考虑使用正则写一个工具实现自动删除. 正则写法: string ...

  2. NodeJs 入门到放弃 — 网络服务器(三)

    码文不易啊,转载请带上本文链接呀,感谢感谢 https://www.cnblogs.com/echoyya/p/14484454.html 目录 码文不易啊,转载请带上本文链接呀,感谢感谢 https ...

  3. 部分rpm包总结描述

    acl-2.2.51-15.el7.x86_64 Commands for Manipulating POSIX(可移植操作系统接口 of unix) Access Control Lists.有ge ...

  4. 从零学脚手架(五)---react、browserslist

    如果此篇对您有所帮助,在此求一个star.项目地址: OrcasTeam/my-cli react react介绍 目前,国内主流的前端应用框架具有两个:vue.js和react.js,关于vue和r ...

  5. 以“有匪”为实战案例,用python爬取视频弹幕

    最近腾讯独播热剧"有匪"特别火,我也一直在追剧,每次看剧的时候都是把弹幕开启的,这样子看剧才有灵魂呀.借助手中的技术,想爬取弹幕分析下这部电视剧的具体情况和网友们的评论!对于弹幕的 ...

  6. Java 树结构实际应用 一(堆排序2秒排完800w数据)

    堆排序 1 堆排序基本介绍 1) 堆排序是利用堆这种数据结构而设计的一种排序算法,堆排序是一种选择排序,它的最坏,最好,平均时间复 杂度均为 O(nlogn),它也是不稳定排序. 2) 堆是具有以下性 ...

  7. Java 并发编程之 Condition 接口

    本文部分摘自<Java 并发编程的艺术> 概述 任意一个 Java 对象,都拥有一个监视器方法,主要包括 wait().wait(long timeout).notify() 以及 not ...

  8. python爬取三国演义的所有章节储存到本地文件中

    #爬取三国演义的全部章节 2 3 import urllib 4 import urllib.request 5 import urllib.parse 6 from lxml import etre ...

  9. 01-静态web服务器(Python)-面向对象的对比

    普通写法,静态web服务器: 先创建TCP服务器套接字,然后等待客户端(这里是浏览器)请求连接. 客户端发起请求,用线程来处理连接的建立,这样可以实现多任务(也就是并发) 连接后根据请求发送指定页面 ...

  10. MyEclipse安装过程

    1.安装JDK并配置环境变量 下载地址: https://www.oracle.com/technetwork/java/javase/downloads/index.html ①点击download ...