总裁封装工具SC3.0存在恶意劫持行为

今日,52用户特特小分队在一次使用总裁封装工具SC3.0封装,在使用过程中发现此工具存在存在恶意劫持行为

测试环境

测试环境:Vmware虚拟机

测试系统:Windows 10 Ltsc 2016 X64

劫持分析

1.使用Win10官方版镜像进行纯净安装,微软官方安装最新版Edge 91,系统补丁更新到最新20210605.

2.安装火绒安全并更新到最新并进行全盘查杀,打开Edge主页正常,再次确认环境安全准备封装.

3.官方下载scpt3.0.0.122版本并更检测更新,校验Scpt.exe程序哈希值.

MD5:909EA880F360DB0557A85AD13E818922

SHA256:7ABCAA827FAFE5185AACB4805AE92A5A61B0DF25B0D6C684E7873953986150D8

4.检查封装参数,将可能涉及自动安装软件插件的选项去除并开始封装系统

总裁封装工具SC3.0恶意劫持

5.封装系统后,提示重启或关机进行备份镜像,基于测试为主因此不进行备份,而是直接重启系统执行系统安装部署,同时避免WinPE不纯净等因素.

6.进入安装好的系统之后,ScTasks.exe随机在Temp目录下生成随机可执行文件 本次是AwJRoo.exe.

总裁封装工具SC3.0恶意劫持

7.继续跟踪AwJRoo.exe文件行为,发现该程序枚举已安装的浏览器并进行劫持修改主页.

总裁封装工具SC3.0恶意劫持

总裁封装工具SC3.0恶意劫持

总裁封装工具SC3.0恶意劫持

8.恶意修改以后,ScTasks.exe尝试删除随机生成的恶意文件AwJRoo.exe,采取拦截并提取样本.

总裁封装工具SC3.0恶意劫持

9.此时打开Edge浏览器发现主页已被偷偷劫持,但似乎该域名已经无法访问.

总裁封装工具SC3.0恶意劫持

10.将随机产生的病毒样本AwJRoo.exe发送至多家云分析平台,结果大跌眼镜,该恶意程序可能有反虚拟机技术,多家云检测平台均无法识别,显示为安全.

总裁封装工具SC3.0恶意劫持

11.至此整个分析过程临近尾声,总裁封装工具SC生成的随机恶意文件由于在系统首次启动后才会运行,而且具有自我销毁行为,手段极其隐蔽.火绒安全卫士、360安全卫士均无法识别.不幸中万幸的是微软自带的防毒软件Windows Defender可以识别.但这里有个问题:Windows Defender识别发现以后,该恶意软件已经成功运行并自我销毁了,因此在Windows Defender防护日志中只能查看到记录是删除而不是隔离,因此无法通过还原来提取恶意软件.

最后

所有那些所谓的无广告,无劫持都是骗人的,实际上在总裁封装工具的论坛已经有人反馈这个问题,但是官方却会说是的PE环境不干净导致的,通过本次测试算是石锤了.毕竟是免费的工具嘛,恶意程序危害相对也比较低.

原贴地址

https://www.52pojie.cn/thread-1455126-1-1.html

给TA打赏
共{{data.count}}人
人已打赏
IT 资讯

Teambition网盘将与阿里云盘数据合并

2021-3-13 12:29:32

IT 资讯

Teambition网盘停止运营公告

2021-7-24 9:26:34

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
搜索