精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Ramnit感染型木馬爆發(fā)

責(zé)任編輯:editor004

2016-08-24 11:43:00

摘自:青年導(dǎo)報

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報,反饋系統(tǒng)反復(fù)全盤程序被感染。惡意代碼執(zhí)行后,會在程序相同目錄下創(chuàng)建一個名為“本程序名+srv“的可執(zhí)行文件,并寫入惡意代碼:  寫入的代碼如下所示。

近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報,反饋系統(tǒng)反復(fù)全盤程序被感染。經(jīng)排查發(fā)現(xiàn)用戶中招前都是從一些下載站上下載了一些被惡意代碼感染的外掛或工具軟件,并且在360報毒后選擇了退出360,導(dǎo)致全盤感染。

以其中一個QQ刷鉆外掛為例,一個看似正常的下載頁面:

UEditor_snapScreen_tmp.jpg

但下載下來的外掛程序其實已經(jīng)遭到了感染,和正常文件相比多了一個名為”.rmnet”區(qū)段:

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

通過分析手段可以從代碼中清晰的看出,程序的入口代碼已被惡意篡改,被增加了如下的一段惡意代碼,用以執(zhí)行惡意功能:

UEditor_snapScreen_tmp.jpg

惡意代碼執(zhí)行后,會在程序相同目錄下創(chuàng)建一個名為“本程序名+srv“的可執(zhí)行文件,并寫入惡意代碼:

UEditor_snapScreen_tmp.jpg

  寫入的代碼如下所示。可以看出,該段具有明顯的PE文件特征:

UEditor_snapScreen_tmp.jpg

  被生成的程序如下所示:

UEditor_snapScreen_tmp.jpg

新生成的Srv程序被運行后會在C:Program FilesMicrosoft文件夾下創(chuàng)建名為DesktopLayer.exe的文件。該文件為主要功能的執(zhí)行文件。

UEditor_snapScreen_tmp.jpg

在DesktopLayer.exe運行中hook了ZwWriteVirtualMemory函數(shù),由于CreateProcess函數(shù)中會調(diào)用ZwWriteVirtualMemory,因此程序?qū)崿F(xiàn)了在創(chuàng)建IE進程的同時對IE進行注入。

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

最終,被注入的IE遍歷全盤文件,感染全部可執(zhí)行程序。感染的內(nèi)容和之前被感染的外掛中被感染的內(nèi)容相同。

UEditor_snapScreen_tmp.jpg

  對此,360安全衛(wèi)士進行了攔截

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

UEditor_snapScreen_tmp.jpg

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 包头市| 东乡县| 新巴尔虎右旗| 安仁县| 龙门县| 墨玉县| 辽中县| 中阳县| 浦城县| 磐安县| 秦皇岛市| 木里| 咸宁市| 铁岭县| 和政县| 舞钢市| 弥渡县| 平谷区| 永城市| 金沙县| 宜兰市| 怀仁县| 封丘县| 寿光市| 洛阳市| 龙游县| 巩义市| 余姚市| 凤城市| 若尔盖县| 衡阳市| 平定县| 河池市| 静海县| 麻城市| 科尔| 仁布县| 乌苏市| 富蕴县| 独山县| 武宣县|