【安全资讯】带有蠕虫的SHEditor工具通过下载站点投放传播

情报来源: 安恒分子实验室——www.molecule-labs.com

1.1.1. 事件概况

 2020-4-16 10:18 在吾爱样本区有人发布SHEditor工具存在蠕虫病毒的情况.

其中带病毒的下载网站:

下载之家: www.downza.cn/soft/273150.html   (带病毒的)

绿色先锋: www.greenxf.com/soft/241080.html   (带病毒的)

pc6下载站: www.pc6.com/softview/SoftView_625619.html   (带病毒的)

无毒的下载网站:

当下软件园: www.downxia.com/downinfo/222368.html

易语言资源网: www.eyuyan.la/post/12755.html

原贴:

https://www.52pojie.cn/forum.php?mod=viewthread&tid=1157711&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline

1.1.2. 事件分析

原本文件与带毒文件对比

带毒的sheditor文件比无毒的大61440字节,并且无毒出现时间为14年9月9日,而有毒时间为2018年11月15日.

在对比工具中,我们可以看到有毒的sheditor比无毒的多出了一小节.

比原文件多了.rmnet段

将这一节提取出来,拖入IDA,我们可以看到这一节包含了一个exe文件

病毒文件执行分析

接下来我们将这个带病毒的sheditor拖入火绒剑进行监控.

我们可以看到病毒文件释放了一个叫做DesktopLayer.exe的蠕虫病毒,并且这个蠕虫病毒创建了iexplore.exe进程.并且在注册表中将自身写入userinit.exe注册表项中

随后我们可以看到,iexplore.exe 对html,dll,exe ,htm文件进行写入的操作

我们将原来的html文件与被写入的html文件进行对比,可以看到被写入的html被写入了脚本内容.意味着执行这些被修改的html就会执行这个脚本,其中writedata开头是4D5A 为PE头

病毒威胁情报

在分析平台中我们可以看到这个病毒很早就已经出现了,只不过又被塞进了别的软件里面.

以有的分析贴:https://www.freebuf.com/vuls/175542.html

1.1.3. 事件总结

原文件创建的时间为14年9月,而被加入蠕虫的sheditor的时间为18年11月,并且多了.rmnet段, 被蠕虫病毒写入的html文件会多了一段VB脚本.

1.1.4.  建议

1、下载文件需谨慎, 在许多没有安全保障的下载网址下都可能存在着攻击者投放的恶意病毒.