精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Ramnit感染型木馬爆發(fā)

責(zé)任編輯:editor004

2016-08-24 11:43:00

摘自:青年導(dǎo)報

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報,反饋系統(tǒng)反復(fù)全盤程序被感染。惡意代碼執(zhí)行后,會在程序相同目錄下創(chuàng)建一個名為“本程序名+srv“的可執(zhí)行文件,并寫入惡意代碼:  寫入的代碼如下所示。

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報,反饋系統(tǒng)反復(fù)全盤程序被感染。經(jīng)排查發(fā)現(xiàn)用戶中招前都是從一些下載站上下載了一些被惡意代碼感染的外掛或工具軟件,并且在360報毒后選擇了退出360,導(dǎo)致全盤感染。

以其中一個QQ刷鉆外掛為例,一個看似正常的下載頁面:

UEditor_snapScreen_tmp.jpg

但下載下來的外掛程序其實已經(jīng)遭到了感染,和正常文件相比多了一個名為”.rmnet”區(qū)段:

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

通過分析手段可以從代碼中清晰的看出,程序的入口代碼已被惡意篡改,被增加了如下的一段惡意代碼,用以執(zhí)行惡意功能:

UEditor_snapScreen_tmp.jpg

惡意代碼執(zhí)行后,會在程序相同目錄下創(chuàng)建一個名為“本程序名+srv“的可執(zhí)行文件,并寫入惡意代碼:

UEditor_snapScreen_tmp.jpg

  寫入的代碼如下所示。可以看出,該段具有明顯的PE文件特征:

UEditor_snapScreen_tmp.jpg

  被生成的程序如下所示:

UEditor_snapScreen_tmp.jpg

新生成的Srv程序被運行后會在C:Program FilesMicrosoft文件夾下創(chuàng)建名為DesktopLayer.exe的文件。該文件為主要功能的執(zhí)行文件。

UEditor_snapScreen_tmp.jpg

在DesktopLayer.exe運行中hook了ZwWriteVirtualMemory函數(shù),由于CreateProcess函數(shù)中會調(diào)用ZwWriteVirtualMemory,因此程序?qū)崿F(xiàn)了在創(chuàng)建IE進程的同時對IE進行注入。

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

最終,被注入的IE遍歷全盤文件,感染全部可執(zhí)行程序。感染的內(nèi)容和之前被感染的外掛中被感染的內(nèi)容相同。

UEditor_snapScreen_tmp.jpg

  對此,360安全衛(wèi)士進行了攔截

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 霞浦县| 泾源县| 临泽县| 余庆县| 黄骅市| 常熟市| 黎川县| 会昌县| 饶河县| 思茅市| 上思县| 盘山县| 泸西县| 滨海县| 桓仁| 武宁县| 泸西县| 尖扎县| 梁山县| 新宁县| 宜君县| 永胜县| 郧西县| 莱西市| 繁昌县| 中阳县| 塔城市| 甘洛县| 铜梁县| 伊川县| 图片| 双桥区| 泰顺县| 万山特区| 祁东县| 景泰县| 琼海市| 外汇| 伊春市| 苏尼特左旗| 德昌县|