火绒安全警报:新型宏病毒通过Excel传播 暗刷2345网址站牟利

火绒安全实验室 Web安全 2019年6月21日发布
Favorite收藏

导语:近日,一批新型宏病毒正通过Excel文件传播,该病毒入侵电脑运行后,会悄悄访问带有推广计费名的2345网址暗刷流量,并且还会感染电脑上其它的Excel文件,然后通过这些文件传播给其它电脑,被感染的Excel文件打开后会出现“安全警告 宏已被禁用”的提示。

火绒安全团队发出警告,近日,一批新型宏病毒正通过Excel文件传播,该病毒入侵电脑运行后,会悄悄访问带有推广计费名的2345网址暗刷流量,并且还会感染电脑上其它的Excel文件,然后通过这些文件传播给其它电脑,被感染的Excel文件打开后会出现“安全警告 宏已被禁用”的提示。

image005.png

分析显示,该病毒会调用IE浏览器来访问带有推广计费名的2345导航网址。而且,该病毒异常狡猾,为了提升自己的隐蔽性,在刷流量前会先检测用户是否开启IE浏览器进程。如果没有,则主动开启微软官方页面,让用户误把病毒刷流量的进程当成官方页面进程,从而避免被关闭。

火绒工程师提醒大家,由于Excel文件是工作、学习中常用文件,极易导致该病毒在公司、学校等范围内快速传播,请广大用户及时做好防范工作。

一、样本分析

近期,火绒截获到一批宏感染型样本,该病毒运行后会隐藏访问带有推广计费名的2345导航网址暗刷流量,并且还会感染其他Excel工作簿文件。被感染文档打开后,都会出现如下图所示:

image005.png

被感染文档

被感染文档中会出现宏病毒代码,如下图所示:

image008.png

病毒宏代码

该病毒为了提高自身隐蔽性,在暗刷流量前还会检测IE浏览器进程是否存在,如果不存在则会先启动微软office官方页面(https://products.office.com/zh-CN/),通过此方法让用户误以为暗刷流量的IE浏览器进程与刚刚被启动的IE浏览器有关。在准备工作完成后,病毒代码会通过ActiveX对象调用IE浏览器访问带有推广计费名的2345导航网址。因为通过这种方式被宏脚本调用的其他程序启动时都是隐藏的,所以普通用户不会有所察觉。相关代码,如下图所示:

image009.png

暗刷流量相关代码

暗刷流量时的进程树,如下图所示:

image010.png

进程树

通过窗体控制工具可以显示IE浏览器窗体,如下图所示:

image011.png

暗刷流量的IE浏览器窗体

病毒感染相关代码执行后,会先在XLSTART目录下创建名为authorization.xls的Excel文档,并将病毒代码前100行插入到该文档的宏模块中,之后续追加的病毒函数调用代码,使authorization.xls主要为用来感染其他Excel文档。authorization.xls被创建后,所有被启动的Excel文档都会加载执行该宏病毒代码。相关代码,如下图所示:

image012.png

在XLSTART目录中释放病毒宏文档

image013.png

在XLSTART目录中被创建的病毒Excel文档

当有其他Excel文档被打开时,如果当前文档ThisWorkbook宏模块前10行中存在“update”、“boosting”、“person”关键字,则会将ThisWorkbook宏模块中的原始代码删除,删除行数与病毒代码行数相同。之后,将病毒宏代码前100行插入到ThisWorkbook宏模块中,再加入相关调用代码。被追加的调用代码决定被感染的Excel主要会释放authorization.xls、暗刷流量。相关代码,如下图所示:

image014.png

感染代码

二、附录

样本hash:

image015.png

如若转载,请注明原文地址: https://www.4hou.com/web/18744.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论