本帖最后由 SSEC 于 2017-7-26 15:10 编辑
Oderoor病毒分析与查杀 1 简述 1.1什么是Oderoor病毒Oderoor病毒是一种后门木马,受影响系统为微软Windows。Oderoor病毒通常利用HTTP或SMTP与远程服务器建立连接,是比较流行的垃圾邮件发送网络的重要参与者。 1.2 有哪些危害感染Oderoor的主机通常没有很明显的破坏行为,本地磁盘文件一般不会被破坏或加密。 Oderoor的目的在于长期利用受害者主机做为跳板,使感染主机发送大量的垃圾邮件,从中赚取代理服务费用(Oderoor作者可以将发送邮件做为服务向外租售)。当然,感染主机还是潜在的DDoS终端,可做为肉机出售。 实际上,感染Oderoor意味着主机存在网络带宽长期被占用的情况,并且做为跳板,可能会因为参与攻击而导致正常业务被屏蔽或通报,当然也不排除有其它的法律风险。 2 中毒症状 2.1 常见感染路径Oderoor变种很多,通常运行起来之后,常见的感染路径如下(释放自身文件): C:\Windows\system32\adh.exe C:\Windows\system32\gajct.exe 特点:C:\Windows\system32\[随机].exe 2.2 添加启动项Oderoor会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Oderoor感染的常见启动项: 使用Autoruns工具,观察到如下启动项已被Oderoor感染: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 2.3 病毒进程Oderoor通常是独立运行的进程,一般不会感染或注入恶意代码到其它进程。Oderoor病毒进程也没有隐藏自身的防护措施,打开任务管理器即可观察到。如下图,是某个Oderoor病毒变种的进程,可以看到它的进程名通常是一个随机名字。 2.4 网络行为Oderoor病毒与远控服务器的通信是通过HTTP或SMTP进行的,并且会使用SMTP发送大量垃圾邮件。 下图,是从某个Oderoor变种截获的网络流量,可以看到有大量的SMTP协议流量。 另外通过流量发现,Oderoor病毒特别喜欢使用动态域名做远控服务端站点,涉及的动态域名提供商包括但不限于dynserv.com、yi.org、mooo.com、dyndns.org。 下图是某个Oderoor病毒发出来的DNS流量,可以看到其远程站点符合如下规律 恶意域名:[随机].[动态域名提供商站点] [动态域名提供商站点]如dynserv.com,[随机]如hovdworcxd,黑客使用随机子站名hovdworcxd向动态域名提供商dynserv.com申请了hovdworcxd.dynserv.com这一地址。由于动态域名子站点不需要实名注册,且多数免费,所以常常被黑客所使用。 威胁情报显示,hovdworcxd.dynserv.com等站点(包括上图所示的所有站点)是一类与Oderoor病毒强关联的远程接入地址。 3 如何查杀3.1 使用杀毒工具Oderoor并不是很顽固的病毒,直接使用常用的杀毒软件查杀即可。虽然Oderoor不需要专杀,但仍然推荐使用杀毒软件进行全盘扫描,防止Oderoor给感染主机安装了其它类型的病毒。 常见的杀毒工具很多,这里推荐下火绒的: 注:国内外常见杀毒软件都可以查杀这种病毒,问题不大。 | 
发表于 2017-7-26 15:03
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
