Oderoor病毒分析与查杀

SSEC

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-26 15:10 编辑

Oderoor病毒分析与查杀
1 简述
1.1什么是Oderoor病毒
Oderoor病毒是一种后门木马,受影响系统为微软Windows。Oderoor病毒通常利用HTTP或SMTP与远程服务器建立连接,是比较流行的垃圾邮件发送网络的重要参与者。
1.2 有哪些危害
感染Oderoor的主机通常没有很明显的破坏行为,本地磁盘文件一般不会被破坏或加密。
Oderoor的目的在于长期利用受害者主机做为跳板,使感染主机发送大量的垃圾邮件,从中赚取代理服务费用(Oderoor作者可以将发送邮件做为服务向外租售)。当然,感染主机还是潜在的DDoS终端,可做为肉机出售。
实际上,感染Oderoor意味着主机存在网络带宽长期被占用的情况,并且做为跳板,可能会因为参与攻击而导致正常业务被屏蔽或通报,当然也不排除有其它的法律风险。
2 中毒症状
2.1 常见感染路径
Oderoor变种很多,通常运行起来之后,常见的感染路径如下(释放自身文件):
C:\Windows\system32\adh.exe
1110759783f4f0407d.png
C:\Windows\system32\gajct.exe
543659783f643d1a0.png
特点:C:\Windows\system32\[随机].exe
2.2 添加启动项
Oderoor会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Oderoor感染的常见启动项:
使用Autoruns工具,观察到如下启动项已被Oderoor感染:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4665359783f750a8b8.png
6188559783f82cf218.png
2.3 病毒进程
Oderoor通常是独立运行的进程,一般不会感染或注入恶意代码到其它进程。Oderoor病毒进程也没有隐藏自身的防护措施,打开任务管理器即可观察到。如下图,是某个Oderoor病毒变种的进程,可以看到它的进程名通常是一个随机名字。
2784459783f9a1a0f5.png
2.4 网络行为
Oderoor病毒与远控服务器的通信是通过HTTP或SMTP进行的,并且会使用SMTP发送大量垃圾邮件。
下图,是从某个Oderoor变种截获的网络流量,可以看到有大量的SMTP协议流量。
8083659783fba1f92e.png
另外通过流量发现,Oderoor病毒特别喜欢使用动态域名做远控服务端站点,涉及的动态域名提供商包括但不限于dynserv.com、yi.org、mooo.com、dyndns.org。
4054859783fcd5def3.png
下图是某个Oderoor病毒发出来的DNS流量,可以看到其远程站点符合如下规律
3193859783fded7acf.png
恶意域名:[随机].[动态域名提供商站点]
[动态域名提供商站点]如dynserv.com,[随机]如hovdworcxd,黑客使用随机子站名hovdworcxd向动态域名提供商dynserv.com申请了hovdworcxd.dynserv.com这一地址。由于动态域名子站点不需要实名注册,且多数免费,所以常常被黑客所使用。
威胁情报显示,hovdworcxd.dynserv.com等站点(包括上图所示的所有站点)是一类与Oderoor病毒强关联的远程接入地址。
2961459783ff459dff.png
3 如何查杀
3.1 使用杀毒工具
Oderoor并不是很顽固的病毒,直接使用常用的杀毒软件查杀即可。虽然Oderoor不需要专杀,但仍然推荐使用杀毒软件进行全盘扫描,防止Oderoor给感染主机安装了其它类型的病毒。
常见的杀毒工具很多,这里推荐下火绒的:
注:国内外常见杀毒软件都可以查杀这种病毒,问题不大。
帅帅哥 发表于 2019-1-16 08:39
  
感谢分享
新手589624 发表于 2021-4-20 08:01
  
坚持每天登陆论坛学习

热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人