全国协议5人面授小班,企业级独立开发考核,转业者的IT软件工程师基地 登录/注册 | 如何报名

免费领取试听课程

并获得专业顾问一对一进行选课辅导

课程名称不能为空
姓名不能为空
手机号码不能为空

领取成功

病毒程序仿造成Windows11系统安装包

行业新闻 汉码未来 | windows11 病毒

2022-02-17 08:46:56

2022年2月8日,惠普在其官方网站上发布了一条关于恶意网站的信息。1月27日,在Windows11升级的最后阶段的第二天,他们发现了一个由恶意行为者注册的windows-upgraded[.]com域名。这些人使用这个域名来传播他们的恶意软件,欺骗用户下载和操作假Windows安装程序。

病毒程序仿造成Windows11系统安装包

恶意行为者复制了合法的Windows 11网站的页面设计,除了域名是新注册的,合法品牌是伪造的,以及点击 "立即下载 "按钮会下载一个托管在Discord的内容交付网络上的,名为Windows11 Installation Assistant.zip的可疑压缩文件外,其他所有的一切与真正的Windows 11网站完全一样。这导致很多用户上当受骗下载了网站分发的一种名叫RedLine Stealer的信息窃取软件。值得一提的是,它不只是一个软件而是一整个家族软件,这个家族软件在地下论坛内被大肆出售。


该文件的很大一部分被填充了0x30字节,完全与该文件的运行无关。该填充区位于文件的末端,就在文件签名之前。通过截断填充区以及签名,可以得到一个应该是恶意软件主体的可移植可执行文件。恶意行为者之所以插入这样一个填充区,让文件变得非常大,是因为许多沙箱以及其他的恶意软件分析工具无法处理过大的文件,并且这种大小的软件还有很大几率不被反病毒和其他扫描控件发现,如果通过手动分析该文件或将其压缩到一个合理的大小,倒是可以判断出它是一个恶意软件,但很少会有人这么做。这样就增加了文件可以不受阻碍地执行并安装恶意软件的机会。下图显示了删除填充区后的可执行文件部分。


动态分析

利用沙盒或静态恶意软件分析工具动态分析这个文件。在恶意软件的安装程序执行后,它立即启动了一个具有编码参数的PowerShell进程。这将导致一个运行时间为21秒的cmd.exe进程被启动,21秒后,初始进程就会从远程网络服务器下载一个名为win11.jpg的文件。



在文本编辑器中查看反转的DLL文件。


由于文件的内容被颠倒,我们可以得到一个动态链接库(DLL)。这个DLL被初始进程加载后,它会再次执行自己,然后用下载的DLL替换当前线程。这就是RedLine Stealer的有效载荷,一个典型的信息窃取的方式。它可以收集当前执行环境的各种信息,如用户名、计算机名称、安装的软件和硬件信息。该恶意软件还能从网络浏览器中窃取存储的密码,信用卡信息等数据,甚至是加密货币文件和钱包。为了渗出信息或接收进一步的指示,RedLine Stealer会打开一个TCP连接到配置命令和控制(C2)服务器。


无独有偶的偷梁换柱事件

这个RedLine Stealer中运用的技术和程序(TTPs)与惠普曾在在2021年12月分析的一个恶意软件相似。在该事件中,恶意行为者注册了discrodappp[.]com域名,他们用它来提供RedLine Stealer,伪装成流行的消息应用程序的安装程序。在这两个事件中,恶意行为者使用模仿流行软件的假网站来欺骗用户安装他们的恶意软件,使用相同的域名注册商注册域名,使用相同的DNS服务器,并提供相同系列的恶意软件。


以上就是汉码未来给大家分享的文章,希望对小伙伴们有所帮助,想要了解更多病毒程序仿造成Windows11系统安装包相关内容的小伙伴可以登录汉码未来官网咨询,主打5人小班,全程面授,主打Java开发,web前端开发等课程,有专业的授课老师为你答疑解惑。

    

分享到:



【免责声明】由于政策等各方面情况的不断调整与变化,本网站所提供的信息仅供参考,请以权威部门公布的正式信息为准。本网站在文章内容来源出处标注为其他平台的稿件均为转载稿,免费转载出于非商业性学习目的,版权归原作者所有。如您对内容、版权等问题存在异议请与本站联系,我们会及时进行处理解决。 删除,请联系客服。
为什么选择汉码未来