Murofet病毒分析与查杀
  

SSEC 发表于 2017-7-19 11:41

本帖最后由 SSEC 于 2017-7-19 11:43 编辑

Murofet病毒分析与查杀
1 简述
深信服安全实验室
原文地址:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=34013

1.1什么是Murofet病毒
      Murofet病毒是一种采用域名生成算法(DGA)的后门木马,受影响系统为微软Windows。Murofet通常是一个下载者木马,主要被用来下载并执行其它恶意病毒,臭名昭著的银行盗号木马Zeus病毒便是其常见下载对象。
      Murofet病毒与Zeus病毒有很大的关联性,通常Murofet被认为是Zeus庞大僵尸网络的“基础设施”。
1.2 有哪些危害
      感染Murofet病毒的主机可能并没有很明显的破坏行为,本地文件一般不会被破坏或加密。
Murofet的目的在于长期控制受害者主机,它通过下载并给用户安装不必要的流氓或恶意软件,或者其它类型的高危木马病毒,来达到任意控制、任意窃取信息的目的。特别是Murofet常常下载高危的Zeus银行盗窃木马,配合Zeus实施攻击,给用户带来经济损失。实际上,感染Murofet病毒已经意味着主机处于高风险之中,最好及时清理主机环境。


2 中毒症状
2.1 常见感染路径
      Murofet变种很多,通常运行起来之后,常见的感染路径如下:
  1. <font size="3" face="Helvetica">C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].ocx
  2. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机]
  3. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].swf
  4. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].tmp</font>
复制代码
12479596ed38e72dea.png
2.2 病毒进程
      目前发现的Murofet病毒是独立运行的进程,它主要是为下载其它病毒服务的。
      下图展示的是Murofet病毒的某种变种,可以看到Murofet伪装成为一个网络播放器,骗取用户信任并点击运行。
20503596ed3a31267e.png


      实际上,它什么也播放不了,只是后台偷偷下载其它恶意软件。
我们使用PC Hunter查看该进程的进程模块,看到它另外加载了____mmfp.ocx的插件,该插件位于临时目录中,显然是病毒体。
99701596ed3b2d29e0.png
2.3 网络行为
      Murofet病毒主要用来从远程服务器下载其它类型的恶意病毒,它被认为是飞客蠕虫的追随者,同样是使用了域名生成算法(DGA)来确定远程域名。
      Murofet采用的DGA算法比较有趣,它计算随机化的种子是来自当前主机系统的年月日及时间,这种算法产生的域名每一分钟都不一样。
      下图是使用Wireshark从某个Murofet变种抓到的DNS流量,短时间内访问了大量的DGA域名,一次超过800个,且多数是解析失败的。解析成功的域名,即意味着黑客已注册了该域名,并且在该域名指向的站点上放置了大量的病毒文件,等待被下载并执行。
56858596ed3da350ba.png
      这边尝试将Murofet病毒的进程内存Dump下来,使用Notepad++查看,也可发现这类DGA域名确实是Murofet发出来的,通常有.biz、.info、.org、.com等后缀域名。
9838596ed3f56b589.png
      Murofet病毒的另外一个强特征是,它访问的http站点URL,符合如下特征:
  1. <font face="Helvetica">http://[随机算法产生].biz/forum/
  2. http://[随机算法产生].org/forum/
  3. http://[随机算法产生].info/forum/
  4. http://[随机算法产生].com/forum/</font>
复制代码
      下图是Murofet进程内存观察到的,它确实是符合以上特征的(域名随机且URL带有“forum”字眼)。
67521596ed413dc129.png
3 如何查杀
3.1 使用杀毒工具
      Murofet木马并不是很顽固的病毒,可以直接使用常用的杀毒工具查杀即可。Murofet木马不需要专杀,推荐使用杀毒软件进行全盘扫描,主要是防止Murofet已经给感染主机种上了其它的病毒。
常见的杀毒工具很多,这里推荐下火绒的:
http://www.huorong.cn/
注:国内外常见杀毒软件都可以查杀这种病毒,问题不大。
3.2 进一步确认
      Murofet木马虽然不是很顽固的病毒,但它常被用来下载Zeus病毒,并作为Zeus病毒的一部分发挥作用,而Zeus病毒是顽固的病毒,最好使用Zeus专杀工具查杀。


卡巴斯基Zeus专杀工具

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

tj_zero Lv8发表于 2017-7-19 16:17
  
先下载下来备用 。
谢谢提供。
×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

奋斗的小破孩

本周建议达人

SSEC

本周分享达人