Murofet病毒分析与查杀
  

SSEC 3990

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-19 11:43 编辑

Murofet病毒分析与查杀
1 简述
某公司安全实验室
原文地址:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=34013

1.1什么是Murofet病毒
      Murofet病毒是一种采用域名生成算法(DGA)的后门木马,受影响系统为微软Windows。Murofet通常是一个下载者木马,主要被用来下载并执行其它恶意病毒,臭名昭著的银行盗号木马Zeus病毒便是其常见下载对象。
      Murofet病毒与Zeus病毒有很大的关联性,通常Murofet被认为是Zeus庞大僵尸网络的“基础设施”。
1.2 有哪些危害
      感染Murofet病毒的主机可能并没有很明显的破坏行为,本地文件一般不会被破坏或加密。
Murofet的目的在于长期控制受害者主机,它通过下载并给用户安装不必要的流氓或恶意软件,或者其它类型的高危木马病毒,来达到任意控制、任意窃取信息的目的。特别是Murofet常常下载高危的Zeus银行盗窃木马,配合Zeus实施攻击,给用户带来经济损失。实际上,感染Murofet病毒已经意味着主机处于高风险之中,最好及时清理主机环境。


2 中毒症状
2.1 常见感染路径
      Murofet变种很多,通常运行起来之后,常见的感染路径如下:
  1. <font size="3" face="Helvetica">C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].ocx
  2. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机]
  3. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].swf
  4. C:\Documents and Settings\Administrator\Local Settings\Temp\[随机].tmp\[随机].tmp</font>
复制代码
12479596ed38e72dea.png
2.2 病毒进程
      目前发现的Murofet病毒是独立运行的进程,它主要是为下载其它病毒服务的。
      下图展示的是Murofet病毒的某种变种,可以看到Murofet伪装成为一个网络播放器,骗取用户信任并点击运行。
20503596ed3a31267e.png


      实际上,它什么也播放不了,只是后台偷偷下载其它恶意软件。
我们使用PC Hunter查看该进程的进程模块,看到它另外加载了____mmfp.ocx的插件,该插件位于临时目录中,显然是病毒体。
99701596ed3b2d29e0.png
2.3 网络行为
      Murofet病毒主要用来从远程服务器下载其它类型的恶意病毒,它被认为是飞客蠕虫的追随者,同样是使用了域名生成算法(DGA)来确定远程域名。
      Murofet采用的DGA算法比较有趣,它计算随机化的种子是来自当前主机系统的年月日及时间,这种算法产生的域名每一分钟都不一样。
      下图是使用Wireshark从某个Murofet变种抓到的DNS流量,短时间内访问了大量的DGA域名,一次超过800个,且多数是解析失败的。解析成功的域名,即意味着黑客已注册了该域名,并且在该域名指向的站点上放置了大量的病毒文件,等待被下载并执行。
56858596ed3da350ba.png
      这边尝试将Murofet病毒的进程内存Dump下来,使用Notepad++查看,也可发现这类DGA域名确实是Murofet发出来的,通常有.biz、.info、.org、.com等后缀域名。
9838596ed3f56b589.png
      Murofet病毒的另外一个强特征是,它访问的http站点URL,符合如下特征:
  1. <font face="Helvetica">http://[随机算法产生].biz/forum/
  2. http://[随机算法产生].org/forum/
  3. http://[随机算法产生].info/forum/
  4. http://[随机算法产生].com/forum/</font>
复制代码
      下图是Murofet进程内存观察到的,它确实是符合以上特征的(域名随机且URL带有“forum”字眼)。
67521596ed413dc129.png
3 如何查杀
3.1 使用杀毒工具
      Murofet木马并不是很顽固的病毒,可以直接使用常用的杀毒工具查杀即可。Murofet木马不需要专杀,推荐使用杀毒软件进行全盘扫描,主要是防止Murofet已经给感染主机种上了其它的病毒。
常见的杀毒工具很多,这里推荐下火绒的:
http://www.huorong.cn/
注:国内外常见杀毒软件都可以查杀这种病毒,问题不大。
3.2 进一步确认
      Murofet木马虽然不是很顽固的病毒,但它常被用来下载Zeus病毒,并作为Zeus病毒的一部分发挥作用,而Zeus病毒是顽固的病毒,最好使用Zeus专杀工具查杀。


卡巴斯基Zeus专杀工具

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

tj_zero 发表于 2017-7-19 16:17
  
先下载下来备用 。
谢谢提供。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
秒懂零信任
自助服务平台操作指引
信服课堂视频
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人