近日，安天 CERT（安全研究與應(yīng)急處 理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一種竊 密木馬，原始文件名為 oledbg32.dll。該木馬 自 2015 年開始出現(xiàn)，最初并未受到關(guān)注。但 在 2017 年 3 月的某次 WannaCry 攻擊中，攻 擊者使用了 oledbg32.dll 收集受害者信息，最 終植入 WannaCry。

     該樣本為 DLL 格式，有五個(gè)導(dǎo)出函數(shù)。 System32iRun 修 改 注 冊(cè) 表 使 System32Run 開 機(jī) 自 啟 動(dòng) 后 調(diào) 用 System32Run， 而 System32Run 運(yùn) 行 后 并 沒 有 發(fā) 現(xiàn) 網(wǎng) 絡(luò) 行 為。SysWOW64Run、SysWOW64iRun 是 System32Run、System32iRun 的 64 位版本。 對(duì) DllEntryPoint 進(jìn) 行 分 析 發(fā) 現(xiàn)： 其 首 先 調(diào) 用 InternetOpen 進(jìn) 行 初 始 化， 然 后 擴(kuò) 充 字 串 "%TEMP%\\ib.exe" 及 "%TEMP%\\ib. tmp"，創(chuàng)建兩個(gè)線程，分別調(diào)用 1000E0F0 及 10010C20 處的函數(shù)，10010C20 處的函數(shù)為 分配內(nèi)存，1000E0F0 處的函數(shù)刪除 %TEMP% 下 的 oledbg.log 并 在 %TEMP% 下 創(chuàng) 建 文件 ib.exe， 然 后 連 接 網(wǎng) 絡(luò)， 提 交 GET 請(qǐng) 求 "http://akamai.co.nf/index.php?action=GCom GicwMTg%3d&t=fH9lbGBlY3x8eXlpfm9mY XR8YA%3d%3d&m=&p=&f="，連接失敗后 調(diào)用 sleep 等待 6 小時(shí)后重新進(jìn)行連接，成功 后連接網(wǎng)絡(luò)下載 http://akamai.co.nf/ib.tmp 并 保存在 %TEMP% 下。接下來(lái)復(fù)制 ib.tmp 并 重命名為 ib.exe，成功后刪除 ib.tmp，ib.exe 運(yùn)行后生成 ntap.dll 及 ntap.exe，ntap.dll 只有 一個(gè)導(dǎo)出函數(shù)，運(yùn)行后創(chuàng)建文件 c:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\thum.db， 內(nèi) 容 為 加 密 的 字 符 串 1422281865,attached。ntap. exe 運(yùn) 行 后 生 成 c:\Documents and Settings\ Administrator\Application Data\Adobe\ Update\NotifyUpdates.dll 并創(chuàng)建任務(wù)計(jì)劃， 在登錄時(shí)運(yùn)行該 DLL 文件。

     NotifyUpdates.dll 為主要載荷，可以獲取 MAC 地址、操作系統(tǒng)版本、系統(tǒng)當(dāng)前時(shí)間， 運(yùn)行后創(chuàng)建批處理腳本，該批處理腳本可以將系統(tǒng)信息（系統(tǒng)時(shí)間、已經(jīng)安裝的補(bǔ)丁）、 當(dāng)前進(jìn)程、c:\Program Files 及 C:\Documents and Settings\Administrator\Recent 中的內(nèi)容、 當(dāng)前網(wǎng)絡(luò)連接、ARP 地址表寫入創(chuàng)建的 .tmp 文件中，最后通過 POST 請(qǐng)求將存有系統(tǒng)信 息的 .tmp 文件上傳至 C&C 服務(wù)器。

      安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，要提 高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行 系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正版 的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā) 郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠，更加不要 隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕易 下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高 警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操 作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。同時(shí)也要做好 文件的備份，以防止勒索軟件加密重要文件 后無(wú)法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類 惡意代碼的檢出。