安全通告
近日,亚信安全 络实验室截获一款恶意程序,该程序使用“进程镂空”技术逃避杀软检测。“进程镂空”技术是指通过创建一个正常的进程,且该进程具有和父进程一样的权限,抹掉这个正常进程的内存映射,将恶意代码写入到正常进程的内存空间,有效逃避杀软检测。
本次截获的恶意程序,其正是通过“进程镂空”技术创建恶意进程,并经过一次解密,最终执行恶意攻击载荷“Phoenix Keylogger”。Phoenix Keylogger是一款间谍软件,其能够收集受害者主机的系统信息,浏览器保存的登陆密码。其具有键盘记录功能,可保存屏幕截图,最后将收集到的信息发送到黑客的Telegram或通过SMTP发送到黑客邮箱。
攻击流程
病毒详细分析
该病毒通过进程镂空技术创建子进程,并将子进程的代码替换为恶意代码。创建的子进程:C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe
安全研究人员将子进程从内存中dump出来继续分析,发现其实际上是一个解密程序:
读取其资源“compressed”中的数据并解密:
解密后新开线程,运行解密后的病毒:
安全研究人员将解密后的病毒dump出来,经过分析发现,该病毒实际上是Phoenix Keylogger,其会收集系统信息:
收集下列浏览器保存的登陆密码:
读取注册表信息:
读取下列注册表收集FoxMail邮箱信息:SOFTWAREClassesFoxmail.url.mailtoShellopencommand将收集到的密码信息写入如下路径文件中:
将收集到的信息通过邮件进行发送:
该恶意软件还具有如下功能(目前这些功能尚未启用):
屏幕截图:
键盘记录:
将收集到的信息发送到Telegram:
将收集到的信息通过FTP进行发送:
亚信安全教你如何防范
亚信安全产品解决方案
亚信安全病毒码版本15.915.60,云病毒码版本15.915.71,全球码版本15.917.00已经可以检测,请用户及时升级病毒码版本。
IOCs
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!