挖礦病毒通過Flash漏洞傳播 火絨無需升級即可防禦

來自專欄 火絨安全實驗室

4月24日，火絨安全團隊發出警報，病毒團伙利用Adobe Flash漏洞傳播挖礦病毒。病毒團伙將挖礦程序植入到遊戲下載站"52pk"中（遊戲娛樂綜合門戶_52PK），當用戶訪問該網站，帶毒頁面展示後，無需任何操作，挖礦程序便會立即運行，利用用戶電腦"挖礦"(門羅幣)。特別的是，該病毒使用的"免殺"技術相比以往的簡單篡改文件哈希有較大改進，已經有了國外混淆器免殺技術的雛形，在一定程度上提升了安全軟體對其查殺的門檻。"火絨安全軟體"無需升級即可防禦該病毒。

通過我們對該樣本的分析，我們發現雖然樣本來源為國內，但是其所使用的混淆技術已經具備一些簡單的混淆器特徵，如：使用無效參數調用系統API、利用系統API影響原始鏡像載入流程等。用於解密原始鏡像數據的代碼數據被存放在資源"YBNHVXA"中，病毒沒有使用資源相關的API讀取數據而是直接通過硬地址進行數據讀取。資源數據，如下圖所示：

病毒資源

相關代碼如下圖所示：

獲取解密代碼

在主要病毒邏輯代碼中被插入了大量的無效函數調用，參數全部都為0。如果虛擬機引擎未對這些API進行模擬，則會無法解密出原始鏡像數據。雖然該病毒所使用的混淆手法極為簡單，但也已經具備了混淆器對抗虛擬機引擎的一些技術特點，可能將來國內病毒與安全軟體的對抗方式也會以混淆器為主。相關代碼如下圖所示：

混淆代碼

該病毒在火絨虛擬行為沙盒中的運行行為，如下圖所示：

虛擬行為沙盒中的病毒行為

在混淆代碼運行完成後，最終執行的惡意代碼會挖取門羅幣，礦工相關信息如下圖所示：

礦工信息

通過對門羅幣錢包地址的查詢，我們可以看到當前為該錢包地址進行挖礦的礦工情況，截止到此時礦工總數為483。如下圖所述：

門羅幣錢包情況

附錄

文中涉及樣本SHA256：