近期,国内某安全机构截获伪装成“Synaptics触摸板驱动程序”的新型蠕虫病毒,该病毒具有很强的传播性,既可以通过带有恶意宏代码的Excel文档传播,也可以通过对正常的EXE文件进行偷梁换柱(将正常的EXE文件内容复制更新到病毒自身的资源段中)的方式传播。该机构将其命名为Worm.Win32.OTORUN.KAT。
当机器感染该病毒后,其会拦截用户新建Excel文档或者打开Excel文档的行为,并将新建或者打开的Excel文档替换成带有恶意宏代码的文档(亚信安全检测为:TROJ_FRS.0NA103BE18),恶意的宏代码主要功能是下载并执行病毒的主体文件Synaptics.exe(亚信安全检测为:Worm.Win32.OTORUN.KAT),进一步感染其他机器。
执行流程
详细分析
当用户在桌面上打开EXE可执行文件时,该病毒首先会复制自身,然后将用户打开的文件更新到刚刚复制的病毒文件的资源段中,最后替换原始的文件,这个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,但实际该文件已经被病毒文件所替换,机器感染了病毒,由于其感染方式较为隐蔽,所以用户很难察觉到异常。
病毒主体信息和伪装的安装过程如下所示:
宏文档分析
该病毒主体文件的资源段内包含此恶意的宏文档,如下图所示:
使用oletools工具dump此宏代码,主要的功能是从远程服务器下载病毒主体文件Synaptics.exe,并将其设置成系统隐藏文件后执行。具体信息如下:
首先会在系统临时目录创建随机文件,并将此XLSM资源段内的数据复制到该文件中:
然后用临时目录的随机文件替换桌面上新建的Excel文档:
病毒感染后的效果如下:
主体Synaptics.exe病毒文件分析
该病毒为了隐蔽自身的恶意行为,其会在同目录下释放保存在资源段“EXERESX”的安装程序,然后运行。之后对EXE文件进行偷梁换柱的行为也是将EXE文件重新更新到这个资源段内,达到传播和伪装的目的。
查找资源段“EXERESX”数据:
在病毒同目录中创建一个“._cache_+Synaptics.exe”文件,用于存放该资源段内的可执行文件。(伪装的安装程序或者被感染的正常EXE文件):
然后调用ShellExecute函数执行此文件。如下所示:
添加注册表自启动项目:
正常EXE文件替换分析
首先会将病毒自身复制到临时目录中的随机文件中:
然后为其创建一个图标文件并写入数据:
使用UpdateResourceA函数将资源段EXERESX中的内容更新到临时文件的PE资源段,这样就达到了替换和隐藏的目的。用户在执行替换后的文件时(由于图标已经替换,表面上很难识别),由于病毒总是优先执行其资源段EXERESX中释放出来的文件,所以并不影响客户原始的EXE文件的功能:
最后将这个临时文件更换为原始文件,并删除临时文件:
整体的替换过程代码如下所示:
正常EXE文件感染替换后的效果如下:
网络请求功能分析
该病毒会创建线程进行网络请求和邮件发送等:
判断网络状态,从远程服务器下载文件到本地:
发送邮件相关代码如下:
解决方案
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
打全系统及应用程序补丁;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的文件共享;