“您的主機已被接管!”新型 JavaScript 遠控木馬花樣來襲
惡意檔案家族:
Sliemerez
威脅型別:
遠控木馬
簡單描述:
Sliemerez 是一款使用 JavaScript 編寫的多功能病毒,具有載入遠端檔案、許可權維持及遠控行為。該病毒最近開始變型傳播,最早可追溯到17年。
惡意檔案分析
1.惡意檔案描述
近期,深信服深盾終端實驗室在運營工作中捕獲到一款潛伏已久的使用 JavaScript 編寫的多功能病毒,該病毒具有載入遠端檔案、許可權維持及遠控行為。該病毒最近開始變型傳播,最早可追溯到17年。
2.惡意檔案分析
該樣本經過多次編碼、替換,繞過靜態檔案檢測。
經過替換解碼之後的部分內容如下:
這部分程式碼會釋放一個 JS 檔案,同時從遠端伺服器下載一個 exe 檔案到 %appdata% 目錄並執行,該伺服器已經失效,無法獲取下載的 exe;釋放出來的檔案部分內容如下:
收集當前主機環境:
在執行的時候會檢視某一登錄檔項判斷指令碼時候已經執行過、判斷指令碼位置是否在環境是否在根目錄。
許可權維持:
在判斷主機環境之後該指令碼會把自身寫入到登錄檔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下,同時將檔案複製到使用者的啟動目錄中,主機在開機時會自動執行該指令碼。
遠控:
在執行完維權之後會進入一個永真的迴圈中,該迴圈會持續收集主機的磁碟、主機名、使用者名稱、系統版本、殺軟、執行環境等資訊並透過 HTTP POST 方法回傳到 C2 伺服器,並從伺服器接受返回指令,透過對應的指令執行不同的操作,每次回傳間隔 7000ms:
該指令碼支援的指令如下:
處置建議
1. 避免開啟來歷不明的郵件、連結和附件等,如一定要開啟未知檔案,請先使用防毒軟體進行掃描;
2. 定期使用防毒軟體進行全盤掃描。
相關文章
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- 一個簡單木馬分析及接管利用
- Windows應急響應-灰鴿子遠控木馬Windows
- 技術不夠,外掛來湊,小心遠控木馬“上身”爆發隱私危機
- Dridex木馬新變種來襲,小心來歷不明的郵件!IDE
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 另類遠控:木馬借道商業級遠控軟體的隱藏執行實現
- “大灰狼”遠控木馬分析及幕後真兇調查
- 木馬藏在何處-遠離遠端控制
- 教你解密Gh0st 1.0遠控木馬VIP版配置資訊解密
- 日常“列印軟體”竟然暗藏遠控木馬,白領小心中招!
- 漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- 偷天換日——新型瀏覽器劫持木馬“暗影鼠”分析瀏覽器
- 新型Android木馬Xavier爆發:可悄然竊取你的個人資訊Android
- 針對macOS的新型加密貨幣挖礦木馬OSX.CpuMeanerMac加密
- 警惕!新型“撒旦”病毒來襲,360率先支援解密解密
- 新型勒索軟體來襲!這次不能小看…...
- 遠控木馬“寄生”防火牆流竄,360安全大腦溯源復現威脅影像防火牆
- rtop – 通過SSH監控遠端主機
- 福建574政府網站被篡改 近6萬主機被木馬控制網站
- 疑似黑客組織TA505再出手,在新的活動中傳播多種遠控木馬黑客
- 用疫情防控思路解決挖礦木馬風險
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 木牛流馬
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- 「內測來襲」 一鍵搭建您的效能測試平臺
- WPA2 加密協議已被破解 用來監控?加密協議
- 硬體木馬(一)
- 分析師:玩家在主機硬體上花費越來越多 遊戲花費變少遊戲
- nagios監控遠端主機服務可能出現的問題iOS
- “愛思助手”被爆為iOS木馬樣本技術分析iOS
- 來自播放器的你——“中國外掛聯盟”木馬分析播放器
- 寬頻來臨 封殺FSO躲避木馬程式的侵擾(轉)
- 【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼Go遊戲
- 快速定位挖礦木馬 !