潜伏已久，集百毒之长：“U盘魅影”木马爆发

本帖最后由杨乃玉于 2018-11-29 07:25 编辑
360安全大脑近期拦截到一批恶性病毒，该病毒集蠕虫，勒索，剪切板幽灵等诸多病毒功能于一体，扩散速度极快，对用户机器的破坏程度极高。通过360威胁情报系统观测，该病毒在2017年就已潜伏在用户电脑上，并于近期爆发，因其通过可移动设备传播的方式和复杂的病毒功能，我们将其命名为“U盘魅影”。

“U盘魅影”最先是由下载器进行传播，感染用户机器后会禁用安全软件的实时防护，访问保护，主动防御等功能。并通过添加防火墙信任列表的方式绕过防火墙检测。携带的蠕虫模块会将病毒传播到可移动设备，网络驱动器，共享文件夹和一些常见的默认网站目录下，这种传播方式会使病毒在内网中迅速扩散。

该病毒还携带了我们在2018年6月份披露的“剪切板幽灵”木马，窃取比特币，以太坊在内的十余种虚拟货币。

除此之外，“U盘魅影”还会下载并执行其他的病毒模块，我们在其下载的诸多病毒模块中检测到最新版本（5.0.4）的GandCrab勒索病毒。

整体流程，如下图所示：

详细分析：

360安全大脑检测到“U盘魅影”病毒最初是由下载器进行传播，当用户运行下图所示的下载器之后就会释放出该病毒：

病毒在运行后会检测虚拟环境，如果有以下进程正在运行则不会执行后续的病毒逻辑：

注册为自启动：

禁用杀毒软件，关闭实时防护，访问保护，主动防护，系统还原等功能，并将病毒添加到防火墙放过列表中，以此来绕过防火墙检测：

之后创建四个线程，执行后续感染，盗取虚拟货币，下载执行其他病毒模块等功能：

蠕虫模块

感染可移动设备（例如：软盘驱动器，USB设备或闪存卡读卡器）和远程驱动器（共享文件夹）：

感染系统敏感目录：

剪切板幽灵

创建一个线程，每隔200毫秒获取一次剪切板内容：

过滤剪切板内容，当内容为虚拟货币地址时，则替换为病毒作者的地址，以此来盗取虚拟货币。

以1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL5为例

11月12号盗取了用户的一次转账

下载执行其他病毒模块

“U盘魅影”会通过C&C服务器下载其他的病毒模块并执行，代码逻辑，如下图所示:

该病毒下载的病毒模块繁多，病毒作者也在持续的更新病毒模块，下图是一个被病毒感染的Temp目录：

我们在其下载的诸多模块中检测到了GandCrab勒索病毒（5.0.4版本），勒索病毒运行后会加密用户数据，并将桌面壁纸篡改为如下图所示的勒索提示信息：

有关GandCrab勒索病毒，请参考我们之前的分析报告，此处不再赘述。

安全建议

下载器和破解软件是近几年病毒传播的主要途径，而部分下载站所提供的软件其安全性无法得到保障。360软件管家是360安全卫士提供的一款集下载、安装、升级、卸载、购买软件的管理工具，软件库中收录万款正版软件，均经过360安全大脑白名单检测，建议广大用户使用360软件管家安装软件。

像“U盘魅影”这种综合电脑病毒的出现在近几年呈上升态势，针对日益严峻的网络安全问题，搭载了“安全大脑”的360安全卫士，利用人工智能技术使安全软件做到了“自主学习”“预警感知”“全面防护”，可率先实现对此类病毒的查杀。用户在面对电脑问题，或是电脑遭到病毒袭击时可以下载360安全卫士为电脑解围。已经开始使用的用户可以通过保持安全卫士的时常开启来确保电脑的安全。【来源：360官网】

下载360安全卫士

IoCs: