精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Ramnit感染型木馬爆發(fā)

責(zé)任編輯:editor004

2016-08-24 11:43:00

摘自:青年導(dǎo)報(bào)

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報(bào),反饋系統(tǒng)反復(fù)全盤(pán)程序被感染。惡意代碼執(zhí)行后,會(huì)在程序相同目錄下創(chuàng)建一個(gè)名為“本程序名+srv“的可執(zhí)行文件,并寫(xiě)入惡意代碼:  寫(xiě)入的代碼如下所示。

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報(bào),反饋系統(tǒng)反復(fù)全盤(pán)程序被感染。經(jīng)排查發(fā)現(xiàn)用戶中招前都是從一些下載站上下載了一些被惡意代碼感染的外掛或工具軟件,并且在360報(bào)毒后選擇了退出360,導(dǎo)致全盤(pán)感染。

以其中一個(gè)QQ刷鉆外掛為例,一個(gè)看似正常的下載頁(yè)面:

UEditor_snapScreen_tmp.jpg

但下載下來(lái)的外掛程序其實(shí)已經(jīng)遭到了感染,和正常文件相比多了一個(gè)名為”.rmnet”區(qū)段:

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

通過(guò)分析手段可以從代碼中清晰的看出,程序的入口代碼已被惡意篡改,被增加了如下的一段惡意代碼,用以執(zhí)行惡意功能:

UEditor_snapScreen_tmp.jpg

惡意代碼執(zhí)行后,會(huì)在程序相同目錄下創(chuàng)建一個(gè)名為“本程序名+srv“的可執(zhí)行文件,并寫(xiě)入惡意代碼:

UEditor_snapScreen_tmp.jpg

  寫(xiě)入的代碼如下所示。可以看出,該段具有明顯的PE文件特征:

UEditor_snapScreen_tmp.jpg

  被生成的程序如下所示:

UEditor_snapScreen_tmp.jpg

新生成的Srv程序被運(yùn)行后會(huì)在C:Program FilesMicrosoft文件夾下創(chuàng)建名為DesktopLayer.exe的文件。該文件為主要功能的執(zhí)行文件。

UEditor_snapScreen_tmp.jpg

在DesktopLayer.exe運(yùn)行中hook了ZwWriteVirtualMemory函數(shù),由于CreateProcess函數(shù)中會(huì)調(diào)用ZwWriteVirtualMemory,因此程序?qū)崿F(xiàn)了在創(chuàng)建IE進(jìn)程的同時(shí)對(duì)IE進(jìn)行注入。

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

最終,被注入的IE遍歷全盤(pán)文件,感染全部可執(zhí)行程序。感染的內(nèi)容和之前被感染的外掛中被感染的內(nèi)容相同。

UEditor_snapScreen_tmp.jpg

  對(duì)此,360安全衛(wèi)士進(jìn)行了攔截

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 托克托县| 诸暨市| 许昌县| 胶州市| 邳州市| 辰溪县| 昌吉市| 宁夏| 洪洞县| 邵武市| 扎兰屯市| 吴堡县| 云南省| 临潭县| 武鸣县| 榆树市| 凤城市| 宿松县| 项城市| 资源县| 凯里市| 托克逊县| 库尔勒市| 祥云县| 南阳市| 新巴尔虎左旗| 雷州市| 乐安县| 沭阳县| 景洪市| 平和县| 大厂| 永丰县| 镇安县| 屏南县| 青龙| 和田市| 平谷区| 阳曲县| 霍州市| 永清县|