1.?背景概述

? ?近期，深信服安全團隊接到客戶反饋，內(nèi)網(wǎng)中出現(xiàn)了大量偽造成文件夾的可疑exe文件，刪掉以后仍會反復(fù)。經(jīng)深信服安全團隊分析發(fā)現(xiàn)，這是一個蠕蟲病毒FakeFolder，該病毒會通過U盤及共享文件夾進行傳播，一旦主機感染了該病毒，文件系統(tǒng)中的文件夾都會被隱藏，取而代之的是一個偽裝的病毒文件，當用戶運行病毒文件時，也會彈出對應(yīng)文件夾的窗口，因此不易被察覺；只要系統(tǒng)中還殘留著一個FakeFolder病毒文件，就會對主機進行反復(fù)感染。

?深信服安全團隊提取了該蠕蟲病毒文件，并對其進行了詳細的技術(shù)。

2.?病毒原理

[1] 病毒首先會創(chuàng)建一個子進程并注入惡意代碼進行核心操作，從而避開殺軟的查殺。

[2] 子進程會釋放要給ghi.bat腳本進行主機、網(wǎng)絡(luò)信息的收集。

[3] 進行完以上操作后，病毒開始感染文件夾，并配和autorun.inf實現(xiàn)重復(fù)感染。

[4] 最后，病毒還有創(chuàng)建兩個定時器，定時監(jiān)控注冊表實現(xiàn)持久化攻擊，以及定時訪問windows服務(wù)器實現(xiàn)偽裝。

3.?病毒現(xiàn)象

被感染主機，系統(tǒng)中的文件夾全部變成了328KB的可執(zhí)行文件：

病毒為一個文件夾圖標的wmimgmt.exe進程：

4.?病毒母體分析

? ?病毒使用MFC編寫，首先會進行一些初始化操作，包括：獲取system32路徑、動態(tài)獲取系統(tǒng)函數(shù)地址、獲取系統(tǒng)安裝的殺軟信息，如果沒有安裝卡巴斯基則執(zhí)行后續(xù)惡意行為：

若未檢測到殺軟進程，則病毒代碼將進入到0x402DD0開始進程注入的操作。

4.1 注入環(huán)節(jié)(0x402F70 -> 0x402DD0)

? ?該環(huán)節(jié)，病毒會讀取資源節(jié)中的惡意代碼(一個PE文件)，然后以掛起狀態(tài)創(chuàng)建子進程，調(diào)用WriteProcessMemory將惡意PE注入子進程并恢復(fù)進程：

5. 注入惡意代碼分析

?我們將注入的惡意代碼dump下來,分析發(fā)現(xiàn),該段惡意代碼首先會判斷程序當前路徑是否為C:\ProgramData\Application Data或C:\Documents and Settings\All Users，如果不是，則將其拷貝到相應(yīng)目錄下命名為wmimgmt.exe并運行。重復(fù)上述操作后，跳到0x40BE00執(zhí)行核心惡意操作：

5.1 收集信息環(huán)節(jié)(0x40B070 -> 0x40BE00)

惡意代碼會創(chuàng)建3個線程，分別執(zhí)行創(chuàng)建互斥量、遍歷磁盤、釋放病毒腳本的操作：

腳本名為ghi.bat，主要操作為獲取系統(tǒng)、網(wǎng)絡(luò)以及進程信息：

做完以上操作后，會使用DialogBoxParamA創(chuàng)建一個模態(tài)對話框，用于監(jiān)控執(zhí)行惡意功能。

5.2 定時操作環(huán)節(jié)(0x40B070 -> 0x40BE00 -> 0x40BF70)

調(diào)用SetTimer設(shè)置2個定時器，分別為10秒和30秒，定時觸發(fā)后面3個行為：

[1]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue置為0，不顯示隱藏文件及文件夾。

[2] 添加開機自啟動項HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wmi32：

[3]查詢域名“windowsupdate.microsoft.com”地址：

5.3 感染磁盤環(huán)節(jié)(0x40B070 -> 0x40BE00 -> 0x40BF70 -> 0x40C460)

?

當初始化或者硬件設(shè)備發(fā)生改變時，回調(diào)的方式執(zhí)行DialogFunc執(zhí)行感染流程，感染對象為USB磁盤和網(wǎng)絡(luò)磁盤：

經(jīng)過一系列的判斷，終于來到了感染的核心環(huán)節(jié)，病毒會創(chuàng)建 C:\RECUCLER\wmimgmt.exe和AuToRUn.iNf實現(xiàn)重復(fù)感染。wmimgmt.com為病毒的克隆體。AuToRUn.iNf的代碼如下，功能為當用戶打開文件夾時，自動執(zhí)行C:\RECYCLER\wmimgmt.exe重復(fù)感染：

wmimgmt.exe病毒文件有特殊屬性，在正常情況下不會顯示出來：

最后，便是執(zhí)行我們開頭見到的篡改文件夾操作，病毒先將原文件夾隱藏，然后將病毒自身克隆成文件夾的樣子，命名為“文件夾名+.exe”：

運行感染的病毒程序，會打開病毒所偽裝的文件夾，從而避免被受害者發(fā)現(xiàn)異常。

感染后的文件夾如下圖所示：

解決方案

?病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺等安全產(chǎn)品均具備病毒檢測能力，部署相關(guān)產(chǎn)品用戶可進行病毒檢測，如圖所示：

總結(jié)

以上是生活随笔為你收集整理的shchangenotifyregister 监视子文件夹文件改变_真假文件夹？FakeFolder病毒再次捣乱企业内网...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。