火絨威脅情報系統(tǒng)監(jiān)測到一款名為“DcRat”的后門病毒新變種，正通過偽裝成正常文件名的方式在微信群中大肆傳播。經(jīng)分析發(fā)現(xiàn)，該病毒入侵電腦后，存在收集用戶隱私信息、遠控用戶電腦等危害。這是繼“Xidu”病毒后又一款通過偽裝來誘導用戶，并通過即時通訊軟件傳播的病毒，用戶一不小心就會中招，短期內(nèi)火絨已攔截數(shù)千臺受影響終端，還請廣大用戶保持警惕。

該黑客團伙將病毒偽裝成的各類文件（文檔、圖片、視頻等）發(fā)送給微信群聊中的用戶，并誘導用戶打開，隨后實施收集信息等惡意行為。

病毒偽裝所使用的文件名列表，如下圖所示：

火絨安全實驗室分析發(fā)現(xiàn)，該病毒運行后，會竊取用戶電腦中文件，并收集用戶信息如用戶名、操作系統(tǒng)版本，記錄鍵盤、麥克風和攝像頭數(shù)據(jù)。除此之外還可遠程控制受害者終端執(zhí)行任意操作。

為了長久駐留用戶電腦中，該病毒還會添加注冊表和計劃任務來進行持久化。同時與安全軟件做對抗，如通過加載執(zhí)行遠程惡意模塊對抗安全軟件查殺、結(jié)束安全軟件進程等，行為十分惡劣。

在此，火絨工程師提醒大家時刻注意群聊中發(fā)送的陌生文件，建議先查殺再使用。目前，火絨安全產(chǎn)品可對上述病毒進行攔截查殺。已中毒的用戶，可使用火絨【全盤掃描】徹底查殺該病毒。

一、樣本分析

病毒執(zhí)行流程，如下圖所示：

該病毒啟動后，會從C&C服務器下載執(zhí)行shellcode，相關(guān)代碼，如下圖所示：

在shellcode中會內(nèi)存加載.NET后門模塊來躲避殺毒軟件的查殺，相關(guān)代碼，如下圖所示：

該.NET后門模塊為開源遠控DcRat，該遠控具備各種惡意功能如：鍵盤記錄、文件竊取、遠程控制、錄音錄像等惡意功能，大部分惡意功能都是以插件的形式下發(fā)執(zhí)行。遠控客戶端收集受害者信息如：用戶名、操作系統(tǒng)版本、是否存在攝像頭、是否存在殺毒軟件等信息（個別變種還會收集QQ號）并發(fā)送給C&C服務器，相關(guān)代碼，如下圖所示：

還會結(jié)束安全工具和安全軟件進程，防止自身暴露，相關(guān)代碼，如下圖所示：

還會檢測虛擬機環(huán)境，相關(guān)代碼，如下圖所示：

還會添加注冊表和計劃任務來進行持久化，相關(guān)代碼，如下圖所示：

鍵盤記錄、文件竊取、遠程控制、錄音錄像等惡意功能都是以插件的形式下發(fā)執(zhí)行，相關(guān)代碼，如下圖所示：

接收執(zhí)行插件

二、附錄

C&C：

HASH：