您的位置: 江西信息港 > 法律

AVG尸魂下载器光棍节大跳脱衣舞借尸还魂

发布时间:2020-03-27 07:28:31

AVG:“尸魂”下载器光棍节大跳脱衣舞,借尸还魂又金蝉脱壳

AVG光棍节预警:守好门户,谨防尸魂下载器肆虐

随着互联的发展,安全厂商利用基于络的云实现了对恶意软件的更快速的反应和用户程序的更广的覆盖,然而于此同时恶意软件也利用互联对自己进行了技术提升。在就光棍节前夕,AVG中国实验室捕获一款恶意下载器样本,此病毒不光作为更进一步入侵的跳板,更是让自己本身成为新下载病毒的外衣。这样使得每次这个尸体的运行,都能让受害者中到最新的病毒。并且该样本使用了大量的针对性的躲避安全软件检测、主动防御和反编译的方法,增大恶意软件的分析检测的难度,以确保自己更长时间的存活。AVG实验室将其命名为尸魂。

如上图,图标非常不起眼,很容易让人麻痹大意。

从静态分析过程中不难发现,此程序的运行时节是完全正常的,给人一种是普通的VC程序的错觉;但进入程序主体之后,会发现存在许多的无用的分支和干扰性的API调用。病毒这样做是为了增加人工分析和启发式检测的难度。

病毒利用了指令拼凑字符串的手法防止基于字符串的启发式检测。

病毒访问几个备选的站,通过URL 下载自己的灵魂。

如果联失败,病毒不会有任何行为。因此在安全厂商的隔离病毒实验室里面可能完全检测不到任何恶意行为。

如果通过浏览器url我们可以发现页面的内容类型被标记为图片,而实际上数据并非为图片的数据,而是加密后的dll文件。

下载成功后病毒把文件保存在临时文件夹下面随机目录中,取名为ms_mod_log_g(x为随机值)。 后面的动作不像一般病毒那样把文件保存然后加载磁盘中的解密文件,而是在内存中解密此文件,映射进内存,手动导入表。查找入口,进入运行。这样在磁盘中就没有下载的文件的影子。

进入下载的恶意dll中之后病毒获得主机的硬盘ID和串号,与服务器通信报告肉鸡情况。安装恶意驱动保护自身;安装服务以确保自身运行,又进一步下载其他文件。到底正式宣告了用户计算机被占领。

这种云病毒的借尸还魂的做法既保持了自我更新,又保护了获得的灵魂不被基于文件的反病毒引擎查杀;此类病毒依赖于互联,在无情况下又给人一种安全的假象。可谓一举多得。

目前此病毒已被AVG检测为RF。无论是收费版还是免费版的用户,只要开机自动更新病毒库,就会有效阻止该病毒的侵袭。

AVG也借此提醒广大用户,在2011年11月11日这个日益让人忍不住疯狂的日子,不要被那些大幅的闪烁广告迷花了眼,一定要去正规的购物站购买物品庆祝节日,并开启您的络安全防护;同时,也请大型的购物站做好自检,给广大的民一个真正的狂欢。

AVG 最周密的络保护者

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

日照白斑病十佳医院
丽水早泄医院
浙江治疗白癜风哪家医院好
鹰潭白带异常医院
海口那家医院治牛皮藓效果好
猜你会喜欢的
猜你会喜欢的