(钓鱼)关于境外暴破登录事件的一次分析
样本概括
名称 | rundll32.exe |
作者 | Microsoft |
危险级别 | 几乎没有 |
环境&工具
win7 x86
x64dbg
010editor
PEID
,ExeInfo
rundll32.exe
用于在内存中运行DLL
文件,用于需要调用DLLs
的程序。它们会在应用程序中被使用。这个程序对系统的正常运行是非常重要的。
注意:rundll32.exe
也可能是W32.Miroot.Worm
病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
- 过多的侵入式广告;
- 烦人的插页式广告;
- 浏览器减速;
- 重定向到不明/可疑网站;
- 系统冻结等等
静态分析
解压后是docx.link
文件,右键查看属性
发现样本名称为 rundll32.exe
合法的 rundll32.exe
文件通常位于 C:\Windows\System32_
文件夹中
运行docx
文件,查看任务管理器,发现cpu
会增加10%
左右,查看样本文件与源文件
样本文件为源文件的快捷方式,且大小为 1.5KB
,MD5值
为FBFB73F0206FF0B2E81DF22A08BE06EF
,进一步确认该快捷方式
进行了哪些恶意行为
文件头格式4D5A
使用PEID
确认
使用ExeInfo
确认信息,发现[Microsoft Visual C++ 8]
且没有加壳
获取恶意样本与 rundll32.exe
的OEP
vc6.0
以后的DEBUG
版本 一般来说IAT函数
调用使用FF15 极大可能是VS程序
对比内存
、调用堆栈
、SEH链
、线程
、模块
等数据,查看是不是包含恶意模块
发现模块一致,对比寄存器
里面的数据
发现所有值在入口前都一致,调试完后发现
EIP
相同的情况下,寄存器
数据不一致,查看图表确定少了两条指令
rundll32.004A232B
xor ecx, ex
cmp dword ptr s5 : [ebp-Ic], ebx
-
xor ecx, ex
是一个异或(XOR)操作,用于执行两个寄存器的异或运算。这里将ecx
和ex
寄存器的值进行异或操作。 -
cmp dword ptr s5:[ebp-Ic], ebx
是一个比较(CMP)操作,用于比较两个值。这里将s5:[ebp-Ic]
和ebx
进行比较。
获取C2
的木马地址
找不同
- 我们有不包含木马的原程序,可以目标程序进行比对
- 如何进行比对
病毒特征
只要打开网页电脑就变得齐慢,任务管理器里面的进程RUNDLL32.EXE
占用CPU99%
,关了该进程,过一会又有了,杀毒又杀不了。在任务管理器的进程中有很多rundll32.exe
进程,并且一个个的内存使用很大
。终止进程后,打开网页又跳出这个进程。直接ctrl+f
在c盘
中查找,在c:\
下有很多rundll32.exe
文件,但只有一个是正常的,其他的根目录不是system32
,删除根目录不是system32的文件
。这样就确认是中了木马病毒。删除了上述的文件,还是没有作用,要除根才行。在c盘
中多了一个stdup.dll
文件,删也删除不掉。这个时候,重新新动计算机在安全模式下删除这个文件。最好在注册表中删除相关的内容。
解决方案:
-
1、
卡巴斯基、瑞星、江民、诺顿
等杀毒软件是不能查到该病毒
,所谓术业有专攻,如是而已,这是一个木马病毒
,当然要用木马专杀毒软件
了。 -
2、 手动删除过程:
扼杀全过程:- (1)在开始→运行中输入
regedit
- (2)查找
hkey_local_machine\software\stdup
和hkey_current_user\software\stdup
并删除stdup
。 - (3)在开始→设置→控制面板→性能和维护→管理工具→服务中找
stdservice
双击后,把启动类型改为已禁用。 - (4)如果在
c:\program files\
文件夹中有stdup
,整体删除。
这下试试你的机器,不出现错误提示,也不出现打开网页超慢的情况了。
- (1)在开始→运行中输入