[分享]Shiz病毒新变种出现 多种对抗窃取信息

目前，火绒安全产品可对上述病毒进行拦截查杀，请火绒用户及时更新病毒库以进行防御。火绒工程师建议大家，安装并定期更新杀毒软件、防火墙和安全补丁，确保始终保持最新的安全防护。

一、样本分析

为了防止安全人员分析，该病毒在最外层的Loader中还使用PUSH + RET的方式来进行函数调用，这样可以对IDA的反编译功能进行混淆，如下图所示：

通过解密执行shellcode，相关代码，如下图所示：

在shellcode执行过程中，它被分成多个块顺序执行。执行完一个块后，执行过的块会被加密，然后再解密并执行下一个块。相关代码，如下图所示：

shellcode主要负责从资源中获取内层模块，解密并加载到内存中，相关代码，如下图所示：

在内层模块中会检测虚拟机环境，相关代码，如下图所示：

还通过调用Windows防火墙API将自身添加到Windows防火墙的授权应用程序列表中，相关代码，如下图所示：

该模块还会将自身拷贝到添加到“ C:Windowsapppatch”目录中，并添加开机自启动中进行持久化操作，相关代码，如下图所示：

该模块执行初始化操作之后，会将shellcode注入到系统进程中执行，相关代码，如下图所示：

shellcode主要负责将最终的恶意模块进行内存加载，相关代码，如下图所示：

内层恶意模块

DGA算法计算出的部分域名列表，分析过程中，暂未发现存活的C&C服务器，不排除后续这些域名会被注册，如下图所示：

通过DGA域名算法，计算出C&C服务器之后，会连接C&C服务器，执行C&C服务器下发的命令，相关代码，如下图所示：

该恶意模块会将自身注入到其他进程中如：系统进程、浏览器进程、svchost.exe（DNS缓存服务器）等进程中来执行各种恶意代码，相关代码，如下图所示：

如果发现自身进程名为svchost.exe就会HOOK DNS相关的函数来进行DNS劫持，相关代码，如下图所示：

以HOOK DnsQuery_A函数为例，当受害者访问杀毒软件的网址时会被劫持到google的网址，相关代码，如下图所示：

通过HOOK  GetClipboardData函数来监控受害者剪贴板数据，相关代码，如下图所示：

通过HOOK多个用于处理签名文件的第三方库，如果发现签名文件就会上传至C&C服务器，相关代码，如下图所示：

通过HOOK Winininet.dll来记录受害者电脑中访问的各种网页信息，相关代码，如下图所示：

同时还会对这些信息进行过滤，如果包含指定网站的登录凭证等信息，会被记录并上传至C&C服务器中，以HttpSendRequestW函数为例，相关代码，如下图所示：

还会通过HOOK 消息相关的函数来进行键盘记录，相关代码，如下图所示：

以HOOK_TranslateMessage函数为例，相关代码，如下图所示：

该病毒还会获取受害者的屏幕截图，相关代码，如下图所示：

二、附录

HASH：