CHM计算机木马病毒、CHM释放器木马,会通过释放其它病毒来间接对系统产生安全威胁\\---【蘇小沐】 \*\*0\*\* \*\*目录\*\* !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/gVJAvSFOQGicz1Mkiaj8TicrIaZQg81HyyLE3ITnquw7tolDJoJqSUxxp95rmxWOf0MkHPEHOyEzjSwcOOtMOVTNg/640?\&random=0.43555395650770445\&random=0.09635851732817557\&random=0.3507228097095434\&random=0.26449112804494157\&random=0.11295548488207485\&random=0.7145090710053867\&random=0.05787282495179458\&random=0.9089332683924678\&random=0.40581138707764053\&random=0.5038378985260215\&random=0.7489641047366278\&random=0.20747033876777454\&random=0.12832644732390008\&random=0.6683763822135063\&wx_fmt=png\&random=0.918340868316863\&random=0.22421902021862428) 1、可疑文件"XXx舞蹈。zip"分析 (一)"XXx转换CHM"静态分析 (二)对"XXx自动转换。CHM"动态分析 1、程序行为分析 2、修改用户外壳文件夹 3、获取敏感系统权限 4、自动关闭电脑 5、网络行为分析 6、显示关联的IP信息 7、网络情报分析 (三)TG黑灰产分析 1、Telegram群组成员的固定 2、获取群组文件 3、获取群组链接 4、TG聊天内容 5、话术诱骗点击 【安全防护建议】 总结 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/SWEVhZNI9V88uVudb3TFvzDyOvBeXHy9uicB81PMpOFEAYWasLjNPoWibZ8SAlILibjR5b8Xjuea7dPPxb5NoJhug/640?\&random=0.9787814275927056\&random=0.9516820514624078\&random=0.5424906803676228\&random=0.28562870857903944\&random=0.9139739922256964\&random=0.1733040417711853\&random=0.2076992305325247\&random=0.3153626849977482\&random=0.5573811987795165\&random=0.7439224724199933\&random=0.7377163447491379\&random=0.7778664025063788\&random=0.4056878547051772\&random=0.16676291138762278\&wxfrom=5\&\&wx_co=1\&wx_fmt=png\&random=0.8834209249408045\&random=0.3142149322477288) \*\*1\*\* \*\*可疑文件"xxx舞蹈.zip"分析\*\* 客户以练习舞蹈等名义,发来病毒文件,有商家点击后电脑系统会不断重启,影响正常工作,继而报警。 对"xxx舞蹈.zip"进行分析,解压缩后得到"xxx自动转换.CHM"文件,其解压后其文件大小、哈希值SHA256值等。 【.chm 文件是一种Microsoft编译的帮助文件格式,通常包含有关特定应用程序、工具或主题的详细信息】 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrranibt0Lhvuu9Zzt5niabMc2EV5rAdUwLsmhhibMjkanSkSkgyuI1DtWXng/640?wx_fmt=png\&from=appmsg\&random=0.8418143832798084\&random=0.14968816157451048) \*\*(一)\*\* \*\*"xxx转换.CHM"静态分析\*\* 使用压缩软件对"xxx自动转换.CHM"进行解压,可以查看到可疑的文件和使用的工具,文件内容如下(有时候也可从这里尝试挖掘出更多有用的信息)。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrrangxias7RLPSrlD972SkMcubibbvwGPoibpwYcp4AUxDKWzt6KPY8qNE2A/640?wx_fmt=png\&from=appmsg\&random=0.8248654485441962\&random=0.10054903459282061) 其主要有以下,对其分析1个子文件"1.html",详细信息如下。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraugAw68DONqjQno7v95KZWiaNNC1QMLXWyqffcib1Yow760zHoRIUlHOg/640?wx_fmt=png\&from=appmsg\&random=0.47325628881677706\&random=0.30429952686778927) "1.html"代码截图如下:获取到如下被混淆后的恶意的JavaScript脚本,无法静态分析出其中的payload。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraSE5t26ia8iaCdEs506xNibc9iaZnB4r4L83kiccKzuQicZ6gkmAKPibw7jFibg/640?wx_fmt=png\&from=appmsg\&random=0.6457568478603277\&random=0.13593929567974006) \*\*(二)\*\* \*\*"xxx自动转换.CHM"动态分析\*\* 使用"安恒云沙箱"系统(Windows7,64bit),对"xxx自动转换.CHM"动态分析执行,显示为"Trojan"(木马),分析结果如下。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraxPwSDPJKBrlZbD3taQ10VWIzmBhf9I2DL6gibp7FCziaupVf4RIJ93hQ/640?wx_fmt=png\&from=appmsg\&random=0.012508019464514186\&random=0.25373258435651125) \*\*1\*\* \*\*程序行为分析\*\* 当点击执行"xxx自动转换.CHM"文件,会执行系统的Microsoft Help查看器"hh.exe"程序(路径:"C:\\\\Windows\\\\hh.exe"),接着Microsoft Help查看器会加载包含在CHM文件中的HTML文件执行如下操作。 高危行为,"系统程序hh.exe唤起子进程",截图如下。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrra10Y3Lx9JibsQsLdrAb0bR5G2sjicuR3XUcOlfeGyCgKd8BRicAmGAUQPg/640?wx_fmt=png\&from=appmsg\&random=0.9284978265962991\&random=0.09669393066846) 【这里增加一个知识点:许多病毒文件可以利用系统正常的DLL动态库来执行触发;也有一些DLL动态库可能本身不发挥威胁,而结合了木马病毒后才会触发威胁,继而一般情况下即使下载了危险的DLL,系统可能也不会报错】 \*\*2\*\* \*\*修改用户外壳文件夹\*\* 高危行为,"修改用户外壳文件夹",不同类型的病毒作用不同。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrra45RSeZbDcuwXib7fj8Nnw9PDHDicy037A3jgFfB8Lkyibr1HNQqU3xVwg/640?wx_fmt=png\&from=appmsg\&random=0.7407486825840333\&random=0.3990377476785254) \*\*3\*\* \*\*获取敏感系统权限\*\* !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraapdzdW8T9IKkmSnn5ZDqRw0lOnv3fE85xIXokeXOK7YPLMsia57qvpA/640?wx_fmt=png\&from=appmsg\&random=0.5033248443113627\&random=0.35845495999856536) \*\*4\*\* \*\*自动关闭电脑\*\* 中危行为,"关闭电脑","shutdown.exe"是系统提供的关机程序,给定的参数"/r /f /t 120"表示 120秒后强制关闭计算机并重新启动,截图如下。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraeh1atL5N5ESqIicicAia0Tr8ianh6tu0lyMS7mIN1TX5OAsPXcT1FWyTow/640?wx_fmt=png\&from=appmsg\&random=0.4499181873790761\&random=0.9921574295057902) \*\*5 \*\* \*\*网络行为分析\*\* HTTP请求中的URL包括以下:"http://38.xxx/chm/xxx.jpg等信息,样本的具体行为与服务端返回的数据有关,如果服务端已关闭,那么程序的网络行为功能可能会受到了无法连接的限制,进而导致无法执行其他行为。 这也是网络取证的难点之一,及时性! !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraOnANGjm8BJWa2q5u1icg5UXZlV8V0EsJnZnxqx6HbPx300Yl3aQlxiaA/640?wx_fmt=png\&from=appmsg\&random=0.8328083934150396\&random=0.6564189261825031) \*\*6\*\* \*\*显示关联的IP信息\*\* 根据"安恒情报"显示关联的IP信息。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraRwibK83Wz03XWt5TUgrOlyZYjqKTkD7zNgwp1NVEAQpTZeERt9JXUvg/640?wx_fmt=png\&from=appmsg\&random=0.016963080635567396\&random=0.5951237444227844) \*\*7\*\* \*\*网络情报分析\*\* 网络对应的情报分析。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrra3Vp6coYCaOUgDMBLHLrhicHONLcDGCXBrl1F3rln9mXQOf32wCyiarSg/640?wx_fmt=png\&from=appmsg\&random=0.6613372085201428) \*\*(三)\*\* \*\*TG黑灰产分析\*\* 查找相关信息,在可疑的聊天记录中查找到TG的疑似内容,进行下一步的固定。在TG群聊信息中获取到"官方群认证",ID"xxx1001xxx"的群组聊天记录,描述"一单180,3分钟之内跑路"信息。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraMNSyGoow7Y90NPZfl0jf3qlHBOTLE7JISY5bKGicaZOInwRXMndibOhg/640?wx_fmt=png\&from=appmsg\&random=0.25560026637776123) \*\*1\*\* \*\*Telegram群组成员的固定\*\* Telegram组员"xx(收投毒手)"(用户名:@xxxtuidu)分析,在群组中查看组员"xxx(收投毒手)"显示有"xxx"个文件记录、以及"xxx"条链接,整理汇总表格如下。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrrazOibkL8xerCD8hL4TNpXDUp9lNyXibsASpd3AE8E8YID66yH6NNnOoRg/640?wx_fmt=png\&from=appmsg\&random=0.08277273041768862) \*\*2\*\* \*\*获取群组文件\*\* 经过技术分析,病毒文件来自此群聊天文件内容,里面还有更多病毒文件,基本上每天都更新。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraWEF3O7ic9AtsePzXc3LOlxFnlJSIBHweYqRaaFRrjXz6bj91YGHMccA/640?wx_fmt=png\&from=appmsg\&random=0.8577553703405709) \*\*3\*\* \*\*获取群组链接\*\* 查找对应的群组信息,可以进一步扩充线索。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraW684Sc1fNMmkBGbAx4cTJh41niaW3dV8R1nVoZASzpvMD6521OKEyUQ/640?wx_fmt=png\&from=appmsg\&random=0.5181398736349014) \*\*4\*\* \*\*TG聊天内容\*\* 从中可以看出这些病毒的投放行业非常广泛,主要集中在一二线大城市的服务业,目前群体稳定,话术简单,有需求且合理。以此投毒配上简单的话术可谓是防不胜防。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrradpyIrI1BnBqtvrRG7CMBbb9RHMqhNhYQmcq5mtfMCZ09CV95JzW4Vg/640?wx_fmt=png\&from=appmsg\&random=0.5934664946331596) \*\*5\*\* \*\*话术诱骗点击\*\* 诱骗商家点击发送的"可疑文件",点击运行,然后商家反馈无法打开所说的视频文件,此时"客户"一般会让商家拍照或录制小段视频,然后解析发送错误/视频受损,后面再重新发送,至此骗局结束,"客户"完成一单业绩! !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxUDpcnhbEMbHYxfB5tNrraPU7Gaichsib4MTFRueNDMibhej3Bj4bP7bziblZcB1Lgh8qsV1cW8603Qg/640?wx_fmt=png\&from=appmsg\&random=0.1254202366439534) 安全防护建议 提高安全意识 谨慎点击下载外部聊天、群聊中发送的文件;不轻易相信陌生人或者文件的说明,关闭安全软件的功能。 谨慎点击短信中的链接、陌生邮件的附件、链接等;邮件内的附件的文件先使用安全软件扫描,确认安全后再使用,防止中病毒或跳转钓鱼网站引发诈骗事件。 在文件资源管理器中,关闭文件夹选项中"隐藏已知文件类型的扩展名",选择文件夹选项中"显示隐藏的文件、文件夹和驱动器"。 不外借个人信息 不出借包含个人信息的"\*\*实名手机卡、银行卡(卡号、U盾)、身份证件、微信号、QQ号(平台账号)\*\*"等数据信息。首先你不清楚对方拿这些干嘛?!而且一旦这些被从事违法、灰色交易的行为,很多群控需要寻找真实的用户信息加以绑定,试图规避平台管控规则。 保留数据,及时报警 一旦发生受骗中病毒、资金受损情况,不要随便删除可疑文件,设备该断网断网,该报警报警,尽量保留证据,避免出现更大损失。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/DRPKCGMAPjKpEd17cIAtSYeR2WeS9b2iam1NKxicAIgXmiaUTUIxib1sZ0sia2Tic788qW6kIuV4H7ofbh16ic9xZmevQ/640?wx_fmt=png\&random=0.996556471146399\&random=0.9860794955135128\&random=0.8347373269248999\&random=0.3387118018306885\&random=0.3797782038616211) 总结 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/DRPKCGMAPjKpEd17cIAtSYeR2WeS9b2iagsia9cqFp8NNK0ibeplhzgHhMw1FOkb6mCSGbpTPYyBP3xq1WGkpIlRQ/640?wx_fmt=png\&random=0.3448522475991753\&random=0.03930942131225201\&random=0.13319400789048785\&random=0.18666106330657195\&random=0.37737098064115204) 书写片面,纯粹做个记录,有错漏之处欢迎指正。 公众号回复关键词【病毒分析】自动获取资源合集,如链接失效请留言,便于及时更新。 【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 \\\[蘇小沐\\\] 所有】 【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】
|---------------------|
| **记录** |
| 开始编辑:2024年 01月 06日 |
| 最后编辑:2024年 01月 06日 |
\*\*END\*\* 往期精彩回顾 \[!\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNwRl1k4hoPSHYoqYwGXhImwJBNPL8A3LW5RMTdJCvcUNR9udBIgPN1KfibD1ibh9UaoWXPV91dQ8fPw/640?wx_fmt=png\&from=appmsg\&random=0.5598941136503002\&random=0.15908352368089052\&random=0.2847776754160154)\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247485996\&idx=1\&sn=764d47f3cf9dfbd3702e6305475b0dc8\&chksm=ea581fa8dd2f96be989523b4015d50051cb35d42d6dc3df4c3caa41ecef8e0eef29862068311\&scene=21#wechat_redirect) \[▲ 【电子取证篇】DFIR公众号导航\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247485996\&idx=1\&sn=764d47f3cf9dfbd3702e6305475b0dc8\&chksm=ea581fa8dd2f96be989523b4015d50051cb35d42d6dc3df4c3caa41ecef8e0eef29862068311\&scene=21#wechat_redirect) \[!\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNwRl1k4hoPSHYoqYwGXhImwZJuXnJJ88DLaAXWYVKAEIbo0hO3JBOYuNicL3xAcIELLkPcxPxuSHDQ/640?wx_fmt=png\&from=appmsg\&random=0.7129048937647051\&random=0.11512293900333237)\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247486505\&idx=1\&sn=73edfcd0384d2d7dc49a2242f6af61a6\&chksm=ea5819addd2f90bbc36f3c292e7e13db2bfdb6883998c399424b6ab4df83aa073196e296ef44\&scene=21#wechat_redirect) \[▲ 【电子取证篇】WinHex入门教程合集,看这一篇\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247486505\&idx=1\&sn=73edfcd0384d2d7dc49a2242f6af61a6\&chksm=ea5819addd2f90bbc36f3c292e7e13db2bfdb6883998c399424b6ab4df83aa073196e296ef44\&scene=21#wechat_redirect) \[!\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNwRl1k4hoPSHYoqYwGXhImwgYS2jGmOH2iaTlr1zRFXqZOrJUe0vlHkCkfZWhRLLM7icO8HPrtILlRA/640?wx_fmt=png\&from=appmsg\&random=0.5511351913121474\&random=0.34079265717008544)\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247486564\&idx=1\&sn=6f74c711ffad1ecf84e419de1518a73e\&chksm=ea5819e0dd2f90f6a3df82fedbe4ee7fc875ccdd94712737a650d81810e9bf3577bc0ed8e02b\&scene=21#wechat_redirect) \[▲ 【电子取证篇】FTK Imager入门教程合集\](http://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247486564\&idx=1\&sn=6f74c711ffad1ecf84e419de1518a73e\&chksm=ea5819e0dd2f90f6a3df82fedbe4ee7fc875ccdd94712737a650d81810e9bf3577bc0ed8e02b\&scene=21#wechat_redirect) 【蘇小沐】 \*\*_关注我_\*\*\*\*_,了解_\*\*\*\*_更多取证知识,别忘_\*\*\*\*_了_\*\*\*\*_点_\*\*\*\*_赞_\*\*\*\*_+_\*\*\*\*_在_\*\*\*\*_看哦!_\*\*\*\*_!\[图片\](https://mmbiz.qpic.cn/mmbiz_gif/kw2nrMk65sdm2h1H7HL0PuJZltDnjKlKJKwx2SOicHZ6ciceNaAhompextcznbssviakCvDN8S2yJxhDVDuZhxSFw/640?wx_fmt=gif\&wxfrom=5\&wx_lazy=1\&random=0.7923755508015693\&random=0.6074162352494825\&random=0.7255493766092054\&random=0.7655177081164151\&random=0.5894639327338842)_\*\* !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/RITPxDQz30icticGDszvMCTbvDxbl8zxyibqkfOTIRXJQVU3YEHicR6AiatHvlnPic7qayibiazKoJV54NVDMmL1uVqsGg/640?wx_fmt=png\&random=0.008279855111830159\&random=0.8417589579850686\&random=0.7406363082812077\&random=0.10974797073162001\&random=0.07292006660739969\&wxfrom=5\&wx_lazy=1\&wx_co=1\&random=0.9329563926201925\&random=0.5542573645001103\&random=0.037751291157028355) 本文转自 ,如有侵权,请联系删除。
