近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報(bào),反饋系統(tǒng)反復(fù)全盤(pán)程序被感染。經(jīng)排查發(fā)現(xiàn)用戶中招前都是從一些下載站上下載了一些被惡意代碼感染的外掛或工具軟件,并且在360報(bào)毒后選擇了退出360,導(dǎo)致全盤(pán)感染。
以其中一個(gè)QQ刷鉆外掛為例,一個(gè)看似正常的下載頁(yè)面:
但下載下來(lái)的外掛程序其實(shí)已經(jīng)遭到了感染,和正常文件相比多了一個(gè)名為”.rmnet”區(qū)段:
通過(guò)分析手段可以從代碼中清晰的看出,程序的入口代碼已被惡意篡改,被增加了如下的一段惡意代碼,用以執(zhí)行惡意功能:
惡意代碼執(zhí)行后,會(huì)在程序相同目錄下創(chuàng)建一個(gè)名為“本程序名+srv“的可執(zhí)行文件,并寫(xiě)入惡意代碼:
寫(xiě)入的代碼如下所示。可以看出,該段具有明顯的PE文件特征:
被生成的程序如下所示:
新生成的Srv程序被運(yùn)行后會(huì)在C:Program FilesMicrosoft文件夾下創(chuàng)建名為DesktopLayer.exe的文件。該文件為主要功能的執(zhí)行文件。
在DesktopLayer.exe運(yùn)行中hook了ZwWriteVirtualMemory函數(shù),由于CreateProcess函數(shù)中會(huì)調(diào)用ZwWriteVirtualMemory,因此程序?qū)崿F(xiàn)了在創(chuàng)建IE進(jìn)程的同時(shí)對(duì)IE進(jìn)行注入。
最終,被注入的IE遍歷全盤(pán)文件,感染全部可執(zhí)行程序。感染的內(nèi)容和之前被感染的外掛中被感染的內(nèi)容相同。
對(duì)此,360安全衛(wèi)士進(jìn)行了攔截
京公網(wǎng)安備 11010502049343號(hào)