文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

杀毒软件哪个好?电脑安全软哪个好用?360管家提供全方位呵护

2024-11-30 15:41

关注


近期,360安全大脑监控到一类通过下载器进行推广,以劫持浏览器主页,推广软件,流氓快捷方式,广告弹窗等方式进行牟利的病毒木马,我们将此类木马命名为“疯花”木马。


该木马是典型的云控木马,所有模块均以云端控制,内存加载的方式执行,通过Process Hollowing的注入方式绕过安全软件检测。通过GetSystemMetrics()实现了一个应用层的关机回调,并在关机回调中回写木马文件和注册表,绕过部分杀软的主动防御功能。疯花木马整体病毒流程如下图:


当携带木马的下载器被运行后,会将疯花木马的主控模块注入到svchost.exe进程中执行,主要包含两个病毒线程,一个通过云控加载劫持模块,另一个注册关机回调,回写病毒文件和注册表项


通过云控下载执行相应的恶意组件,云控的配置跟下载的组件均经过加密存储,下图是下载云控配置并进行解析的代码片段:


解密后的云控配置如下:


通过GetSystemMetrics实现应用层关机回调,并在关机回调时回写病毒文件和注册表:


通过篡改SENS服务ServiceDll路径实现病毒自启动


此外还会修改

PendingFileRenameOperations:


自启动模块会检查进程名跟命令行是否为sens服务,若不是则不会执行病毒逻辑,反之则会通过进程hollowing的方式启动主控模块:


主控以同样的方式启动盈利模块,盈利模块包含篡改浏览器主页,推广软件,流氓快捷方式等进行牟利,配置文件中包含一些对于环境的判断条件,如fbarea字段存在,会检测北京,上海,广州,深圳等一线城市,并绕过。劫持浏览器主页的配置如下:


劫持的浏览器列表如下:


劫持后的主页最终跳转到如下页面:


快捷方式和推广软件的部分配置文件如下:


安全建议


减少下载器,盗版软件的使用,尽量去软件官网下载使用。

定时对系统进行木马查杀,保证系统安全。


360安全卫士已支持查杀该木马,广大用户可前往weishi.360.cn下载使用:


01

MD5


226037df29daa7a40b9fb3a3ee56c3c4


02

URL


http[:]//plg.xw-wd.com/PopNews.dat

http[:]//ver.wengmingjunylawyerfc.com/Version.ini

http[:]//core.sda-bocconi.com:80/Hsvt.dat

http[:]//cfg.wtlswd.com/Config.ini

http[:]//core.sda-bocconi.com:80/Hds.dat


电脑安全软件哪个好用?弹窗广告怎么彻底关闭?下载360安全卫士即可从根本上解决问题,如若再次遇到流氓软件,360安全卫士会警告用户并进行立即拦截隔离,防止流氓软件“扎根”电脑,无疑更为安全。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯