CVE-2014-4114 变种样本分析

2014-10-27 Nie.Meining Debug

找到了一个 CVE-2014-4114 的变种样本,该样本内嵌恶意代码,可以直接本地触发执行,不需要再从远程共享服务器下载恶意代码。用UltraEdit打开样本可以找到内嵌的PE模块信息:

ue.jpg

将样本上传分析平台,并选择win7系统作为镜像展开分析,得到样本的行为关系图如下:

behavior.png

(详细分析报告:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=53


从利用inf、通过runonce安装执行恶意代码等攻击过程可以看出,攻击方式与之前分析的 CVE-2014-2114 (http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=59)如出一辙,不过不再需要远程下载攻击代码,使得攻击更加容易成功。


目前该样本的查杀率很低,上传到 virscan 只有17%的检测率(7/39):

virscan.png

(virscan分析报告:http://r.virscan.org/report/d2f07dc5c0815c3c89597ca1ea888cc4

评论:

Aarontic
约 17 小时前
http://acyclovir400mg.us/ - additional reading http://tetracyclinegenericbuy.com/ - tetracycline 500 mg http://tadacipbest.us.org/ - tadacip 20mg
Aarontic
2018-12-15 15:28
http://viagra2017.us.com/ - cheap viagra online pharmacy http://valtrexwithoutprescription.party/ - valtrex http://buytorsemide.us.com/ - torsemide http://lexaprogenericbuy.com/ - lexapro canada http://lasixgenericbuy.com/ - lasix http://acyclovir400mg.us/ - acyclovir http://allopurinol.us.com/ - buy allopurinol http://propranolol.us.com/ - propranolol

发表评论:

Powered by emlog