简介
Scar是一种可以感染可执行程序的感染式病毒。该样本运行后释放文件并创建服务添加注册表实现自启动,连接C2(已失效),搜索并感染除系统盘以外的所有文件,被感染的文件被覆盖,文件不可修复。
样本行为概述
文件行为
释放%Temp%[xxx].exe文件
xxx为以下两个字符串的组合:
| Vibrant | Masonry | Multifarious | Enclosure | Obsequious | Fanfare | Refute | Anachronism |
|---|---|---|---|---|---|---|---|
| Occult | Delude | Scour | Enclosure | Shareholder | Moor | Aluminium | Menagerie |
释放C:\Windows\SUGUZEFHWD.dll
进程行为
Scar运行成功后创建进程xxx.exe,并将SUGUZEFHWD.dll以COM组件形式注册到系统中。Scar病毒在运行之后会隐藏自身。
注册表行为
| 操作 | 注册表 | 数据 | 说明 |
|---|---|---|---|
| 删除 | HKEY_CURRENT_USER\Software{D8D2F841-C4FC-4ADE-731A-56E6D1755624} | 0x00000001 | 修改文件内容 |
创建一个服务(持久化):
| 操作 | 注册表 |
|---|---|
| 创建 | HKEY_LOCAL_MACHINE\System\CurrentControletSet\services\xxx |
xxx为以下字符串的组合:
| EnumWindows | Menagerie | Aluminium | Moor | Shareholder | Scour | Delude | Occult |
|---|---|---|---|---|---|---|---|
| Anachronism | Refute | Fanfare | Obsequious | Enclosure | Multifarious | Masonry | Vibrant |
Scar感染性病毒详细分析
初始化
运行后会为自身创建一个标题为yoiipnbfsgtdgz,类名为SUGUZEFHWD的子窗口, 该子窗口为样本的整个攻击初始化的标识。然后将自身的属性设置为隐藏属性。
然后创建一个线程,用来持续检查是否有新硬盘挂载,如果存在新硬盘挂载则在临时目录释放xxx.exe并执行,其中xxx.exe为文件感染程序。
## 释放文件
释放自身资源节数据到xxx.exe文件并且启动。
获取Windows目录,释放SUGUZEFHWD.dll,然后将DLL以COM组件形式注册到系统中。
随机选择两个字符串相加
网络行为
分别与以下C2开始建立通讯。
buytomer.oCry.com
205.209.168.5:443
smithewife.zyns.com
当和C2连接成功后,主机就会发送以“N006806”开头和十六个字符串拼接的信息
当接受到数据后,会根据数据长度来判断是否需要进行解密。然后解析收到的数据。
当数据解析完毕后,开始清除网络缓存。
反沙箱分析
通过检查鼠标光标是否保持不动来判断样本是否在沙箱中
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 jaytp@qq.com
