揭秘网络钓鱼植入木马病毒的全过程

从受害主机上的情况来看，病毒主要有三个部分构成：

木马的启动程序其实为正常的AdobeCEFHelper程序，是AdobeCreativeCloud程序的组件之一：

该组织应该是发现了这个Helper程序会在执行过程中去以函数名的方式获取到中CEFProcessForkHandlerEx的函数地址并执行，所以就伪造了一个假的并导出同名函数CEFProcessForkHandlerEx进行劫持。

这个伪造的CEFProcessForkHandlerEx函数首先会搜索当前进程对应可执行文件目录下的文件：

然后将文件中的数据读出来：

用0当做隔断，取前十个字节作为秘钥，第十二个字节开始作为带解密的内容。进行一个循环异或的解密：

异或的过程：

文件内容，前十个字节为循环异或的秘钥：

异或完成后得到Payload：

然后开始执行Payload代码，其会将病毒的三个文件拷贝到%UserProfile%以及%Appdata%目录下，并将重命名为：

还会添加自启动注册表项：

然后会创建新的进程：

然后结束自身进程：

新创建的进程会持续运行，并与恶意地址进行持续的通信，并且会不断地向共享目录写下恶意的快捷方式，并将病毒拷贝到共享目录。

尝试与恶意的地址进行通信：

写下的快捷方式，意在通过用快捷方式让内网其他用户不小心将病毒执行起来：

1.日常生活工作中的重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份；

2.使用高强度的主机密码，并避免多台设备使用相同密码，不要对外网直接映射3389等端口，防止暴力破解；

3.避免打开来历不明的邮件、链接和网址附件等，尽量不要在非官方渠道下载非正版的应用软件，发现文件类型与图标不相符时应先使用安全软件对文件进行查杀；

4.定期检测系统漏洞并且及时进行补丁修复。

1.深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀：

2.深信服安全产品集成深信服SAVE人工智能检测引擎，拥有强大的泛化能力，精准防御未知病毒；

本文为深信服科技原创内容，未经允许不得转载。