趨勢科技在七月初收到很多關(guān)于一定數(shù)量的打印工作被發(fā)送到打印機(jī)和打印服務(wù)器的案例。這會(huì)延遲原本正常的打印工作，因?yàn)槊總€(gè)打印機(jī)會(huì)打印大約 300 頁無意義的內(nèi)容，那么到底是什么程序在打??？

打印的實(shí)際內(nèi)容如下圖，其實(shí)就是幾行代碼，趨勢科技認(rèn)為這是惡意軟件想在目標(biāo)機(jī)器上安裝的程序代碼。對于有這類打印行為的電腦，我們檢測出了 TROJ_AGENT.BCPC 或 TROJ_PONMOCOP 變種病毒。

 

趨勢科技注意到，在中毒電腦的下列位置，還會(huì)出現(xiàn)隨機(jī)命名的二進(jìn)制文件：

TROJ_AGENT.BCPC

%System%{隨機(jī)十個(gè)字母}.exe

%System%SPOOLPRINTERSFP{五個(gè)數(shù)字}.SPL – 我們相信是這個(gè)文件產(chǎn)生了打印作業(yè)

%System%SPOOLPRINTERS{隨機(jī)文件名}.tmp

 

TROJ_PONMOCOP 變種

%System%{隨機(jī)文件名}.dll

Users{user name}AppdataRoaming{隨機(jī)文件名}.dll

Documents and Settings{用戶名}Application Data{隨機(jī)文件名}.dll

Program Files{隨機(jī)目錄}{隨機(jī)文件名}.dll

%Windows%SysWOW64{隨機(jī)文件名}.dll

 

從何而來？

根據(jù)分析，我們確認(rèn)了這兩個(gè)惡意軟件所使用的入侵點(diǎn)。我們發(fā)現(xiàn)和這次攻擊相關(guān)的惡意軟件是從某些論壇以 zip 文件的形式下載的，這些論壇可能還包含其他惡意軟件：

 

趨勢科技還發(fā)現(xiàn)，有用戶由于針對性的 Google 搜索結(jié)果攻擊而無意下載到惡意文件，讓惡意軟件可以進(jìn)入受感染系統(tǒng)：

 

值得注意的行為

感染 TROJ_AGENT.BCPC 的系統(tǒng)會(huì)訪問 http://storage5.static.{BLOCKED}s.ru/i/12/0601/h_1338571059_9957469_b48b167953.jpeg，然后下載 ADW_EOREZO。用戶可能會(huì)不停地看到彈出廣告，這些廣告也就是上述廣告軟件所造成。顯示的廣告內(nèi)容則來自 http://ads.{BLOCKED}1.com/cgi-bin/advert/getads?did=1077。

另外，TROJ_PONMOCOP 也使得這些攻擊變得難以分析。TROJ_PONMOCOP 程序代碼包含了加密的部分，它會(huì)被載入到內(nèi)存中再解密。一旦解密，會(huì)變成新的，以 UPX 格式壓縮過的二進(jìn)制文件，并由該文件負(fù)責(zé)后續(xù)行為。

這個(gè)新的二進(jìn)制文件也包含加密后的程序代碼，解密時(shí)需要提供中毒電腦的參數(shù)，例如 %WINDOWS%SYSTEM32 和 System Volume Information 文件夾中的 ftCreationTime 和 ftLastAccessTime，以及硬盤序列號(hào)。

如果解密之后的是可用的二進(jìn)制文件，這個(gè)文件會(huì)再次接管惡意軟件的控制權(quán)。如果是不可用二進(jìn)制文件，那么后續(xù)的惡意行為就不會(huì)繼續(xù)。這意味著每個(gè)受感染系統(tǒng)上都會(huì)有個(gè)唯一的二進(jìn)制程序。請注意，所有的步驟都是在內(nèi)存中完成的，這也意味著硬盤上不會(huì)保存任何記錄。

接著，惡意軟件會(huì)檢查注冊表的下列位置，并在內(nèi)存中解密出更多二進(jìn)制文件。這些注冊表項(xiàng)目會(huì)根據(jù)受感染電腦的處理器和操作系統(tǒng)的不同而有所不同：

32位系統(tǒng)：

HKLMSoftware{隨機(jī)}

HKCUSoftware{隨機(jī)}

64位系統(tǒng)：

HKLMSoftwareWow6432Node{隨機(jī)}

HKCUSoftwareWow6432Node{隨機(jī)}

這些注冊表項(xiàng)目包含了加密信息，會(huì)被解密成三個(gè)二進(jìn)制文件。第一個(gè)文件可以監(jiān)測并禁用“wscsvc”、“WinDefend”和“MsMpSvc”服務(wù)，同時(shí)還會(huì)刪除以下和安全軟件有關(guān)的注冊表內(nèi)容：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun “Windows Defender”

HKLMSoftwareMicrosoftWindowsCurrentVersionRun “msse”

第二個(gè)文件會(huì)將關(guān)于“Http Status”、“Time slots”和“Statistics”的信息傳輸?shù)竭h(yuǎn)程服務(wù)器上。具體的數(shù)據(jù)內(nèi)容以及傳輸?shù)降哪康牡剡€在研究中。這個(gè)文件還會(huì)檢查下列注冊表項(xiàng)目：

HKLMsoftwareMicrosoftWindowsCurrentVersionInternet Settings

HKCUsoftwareMicrosoftWindowsCurrentVersionInternet Settings

HKLMsoftwareMicrosoftMultimedia

HKCUsoftwareMicrosoftMultimedia

HKLMSystemCurrentControlSet

一旦發(fā)現(xiàn)這些項(xiàng)目，第二個(gè)文件會(huì)對這些注冊表鍵值中所包含的數(shù)據(jù)進(jìn)行解碼，解碼的結(jié)果所包含的信息包含用于試圖劫持或訪問的網(wǎng)址。

此外，第二個(gè)文件還會(huì)建立下列新的注冊表項(xiàng)，其中包含了額外的加密數(shù)據(jù)：

HKCUSoftwareMicrosoftInternet ExplorerLowRegistryStats{隨機(jī)}

HKCUSoftwareMicrosoftInternet ExplorerLowRegistryStats{隨機(jī)}{隨機(jī)}

最后一個(gè)文件的行為還在調(diào)查中。

來自趨勢科技的防護(hù)

趨勢科技通過兩種方式保護(hù)用戶。所有上述文件都已被檢測為惡已文件。另外，我們也封鎖了所有相關(guān)網(wǎng)址，以防止新變種被下載到用戶電腦上。相對于傳統(tǒng)作法只單獨(dú)針對惡意文件或網(wǎng)站所進(jìn)行的隔離，這樣的組合方式可以為用戶提供更好的防護(hù)。