当前位置:主页>资 讯>安全动态>

AVG光棍节预警:谨防“尸魂”下载器肆虐

随着互联网的发展,安全厂商利用基于网络的“云”实现了对恶意软件的更快速的反应和用户程序的更广的覆盖,然而于此同时恶意软件也利用互联网对自己进行了技术提升。在就光棍节前夕,AVG中国实验室捕获一款恶意下载器样本,此病毒不光作为更进一步入侵的跳板,更是让自己本身成为新下载病毒的“外衣”。这样使得每次这个“尸体”的运行,都能让受害者中到“最新”的病毒。并且该样本使用了大量的针对性的躲避安全软件检测、主动防御和反编译的方法,增大恶意软件的分析检测的难度,以确保自己更长时间的存活。AVG实验室将其命名为“尸魂”。

如上图,图标非常不起眼,很容易让人麻痹大意。

从静态分析过程中不难发现,此程序的运行时节是完全正常的,给人一种是普通的VC程序的错觉;但进入程序主体之后,会发现存在许多的无用的分支和干扰性的API调用。病毒这样做是为了增加人工分析和启发式检测的难度。

病毒利用了指令拼凑字符串的手法防止基于字符串的启发式检测。

病毒访问几个备选的网站,通过URL 下载自己的“灵魂”。

如果联网失败,病毒不会有任何行为。因此在安全厂商的隔离病毒实验室里面可能完全检测不到任何恶意行为。

如果通过浏览器url我们可以发现页面的内容类型被标记为“图片”,而实际上数据并非为图片的数据,而是加密后的dll文件。

下载成功后病毒把文件保存在临时文件夹下面随机目录中,取名为ms_mod_log_xxxx.log(x为随机值)。 后面的动作不像一般病毒那样把文件保存然后加载磁盘中的解密文件,而是在内存中解密此文件,映射进内存,手动导入表。查找入口,进入运行。这样在磁盘中就没有下载的文件的影子。

进入下载的恶意dll中之后病毒获得主机的硬盘ID和串号,与服务器通信报告肉鸡情况。安装恶意驱动保护自身;安装服务以确保自身运行,又进一步下载其他文件。到底正式宣告了用户计算机被占领。

这种“云病毒”的借尸还魂的做法既保持了自我更新,又保护了在线获得的“灵魂”不被基于文件的反病毒引擎查杀;此类病毒依赖于互联网,在无网情况下又给人一种安全的假象。可谓一举多得。

目前此病毒已被AVG检测为Downloader.Agent2.AVRF。无论是收费版还是免费版的用户,只要开机自动更新病毒库,就会有效阻止该病毒的侵袭。

AVG也借此提醒广大用户,在2011年11月11日这个日益让人忍不住“疯狂”的日子,不要被那些大幅的闪烁广告迷花了眼,一定要去正规的购物网站购买物品庆祝节日,并开启您的网络安全防护;同时,也请大型的购物网站做好自检,给广大的网民一个真正的狂欢。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部