Oderoor病毒分析与查杀
  

SSEC 发表于 2017-7-26 15:03

本帖最后由 SSEC 于 2017-7-26 15:10 编辑

Oderoor病毒分析与查杀
1 简述
1.1什么是Oderoor病毒
Oderoor病毒是一种后门木马,受影响系统为微软Windows。Oderoor病毒通常利用HTTP或SMTP与远程服务器建立连接,是比较流行的垃圾邮件发送网络的重要参与者。
1.2 有哪些危害
感染Oderoor的主机通常没有很明显的破坏行为,本地磁盘文件一般不会被破坏或加密。
Oderoor的目的在于长期利用受害者主机做为跳板,使感染主机发送大量的垃圾邮件,从中赚取代理服务费用(Oderoor作者可以将发送邮件做为服务向外租售)。当然,感染主机还是潜在的DDoS终端,可做为肉机出售。
实际上,感染Oderoor意味着主机存在网络带宽长期被占用的情况,并且做为跳板,可能会因为参与攻击而导致正常业务被屏蔽或通报,当然也不排除有其它的法律风险。
2 中毒症状
2.1 常见感染路径
Oderoor变种很多,通常运行起来之后,常见的感染路径如下(释放自身文件):
C:\Windows\system32\adh.exe
1110759783f4f0407d.png
C:\Windows\system32\gajct.exe
543659783f643d1a0.png
特点:C:\Windows\system32\[随机].exe
2.2 添加启动项
Oderoor会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Oderoor感染的常见启动项:
使用Autoruns工具,观察到如下启动项已被Oderoor感染:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4665359783f750a8b8.png
6188559783f82cf218.png
2.3 病毒进程
Oderoor通常是独立运行的进程,一般不会感染或注入恶意代码到其它进程。Oderoor病毒进程也没有隐藏自身的防护措施,打开任务管理器即可观察到。如下图,是某个Oderoor病毒变种的进程,可以看到它的进程名通常是一个随机名字。
2784459783f9a1a0f5.png
2.4 网络行为
Oderoor病毒与远控服务器的通信是通过HTTP或SMTP进行的,并且会使用SMTP发送大量垃圾邮件。
下图,是从某个Oderoor变种截获的网络流量,可以看到有大量的SMTP协议流量。
8083659783fba1f92e.png
另外通过流量发现,Oderoor病毒特别喜欢使用动态域名做远控服务端站点,涉及的动态域名提供商包括但不限于dynserv.com、yi.org、mooo.com、dyndns.org。
4054859783fcd5def3.png
下图是某个Oderoor病毒发出来的DNS流量,可以看到其远程站点符合如下规律
3193859783fded7acf.png
恶意域名:[随机].[动态域名提供商站点]
[动态域名提供商站点]如dynserv.com,[随机]如hovdworcxd,黑客使用随机子站名hovdworcxd向动态域名提供商dynserv.com申请了hovdworcxd.dynserv.com这一地址。由于动态域名子站点不需要实名注册,且多数免费,所以常常被黑客所使用。
威胁情报显示,hovdworcxd.dynserv.com等站点(包括上图所示的所有站点)是一类与Oderoor病毒强关联的远程接入地址。
2961459783ff459dff.png
3 如何查杀
3.1 使用杀毒工具
Oderoor并不是很顽固的病毒,直接使用常用的杀毒软件查杀即可。虽然Oderoor不需要专杀,但仍然推荐使用杀毒软件进行全盘扫描,防止Oderoor给感染主机安装了其它类型的病毒。
常见的杀毒工具很多,这里推荐下火绒的:
注:国内外常见杀毒软件都可以查杀这种病毒,问题不大。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

奋斗的小破孩

本周建议达人

SSEC

本周分享达人