文章插图
通过我们近期接到的用户反馈 , 我们发现了"小马激活"病毒的新变种 。该变种所运用的对抗技术十分复杂 , 进一步增加了安全软件对其有效处理的难度 , 甚至使得病毒分析人员通过远程协助处理用户现场变得更困难 。这个"小马激活"病毒的最新变种运行界面如下:
文章插图
2 样本分析该病毒释放的驱动文件通过VMProtect加壳 , 并通过过滤驱动的方式拦截文件系统操作(图2) , 其目的是保护其释放的动态库文件无法被删除 。通过文件系统过滤驱动 , 使得系统中的其他进程在打开该驱动文件句柄时获得的是tcpip.sys文件的句柄 , 如果强行删除该驱动文件则会变为删除tcpip.sys文件 , 造成系统无法正常连接网络 。我们通过下图可以看到火绒剑在查看文件信息时 , 读取的其实是tcpip.sys文件的文件信息 。由于此功能 , 使得病毒分析人员无法在系统中正常获取该驱动的样本 。
文章插图
该驱动通过注册关机回调在系统关机时该驱动会将自身在%SystemRoot%System32Drivers目录重新拷贝成随机名字的新驱动文件 , 并将驱动信息写入注册表 , 以便于下一次时启动加载 。在驱动加载之
后 , 其会将locc.dll注入到explorer.exe进程中 。该驱动对locc.dll文件也进行了保护 , 当试图修改或者删除该动态库时 , 会弹出错误提示"文件过大" 。
文章插图
当病毒的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑 。通过火绒剑的内存转储 , 我们可以看到该病毒锁定的所有网址 。
l l l l l l l l l l l l l l l l l
通过抓取上述网址中的网页信息 , 我们可以发现上述网址中存放的其实是一个跳转页 。通过使用跳转页面 , 病毒作者可以灵活调整计费链接和推广网址 , 并且对来自不同浏览器的流量进行分类统计 。
文章插图
三、解决方案(1) 不从不明网站下载软件 , 不要点击来源不明的邮件以及附件;
(2) 及时给电脑打补丁 , 修复漏洞;
(3) 尽量关闭不必要的文件共享权限以及关闭不必要的端口 , 如:445,135,139,3389等;
(4) 安装专业的终端/服务器安全防护软件 , 深信服EDR能够有效查杀该病毒 。
探讨渗透测试及黑客技术 , 请关注并私信我 。#小白入行网络安全# #安界网人才培养计划#
推荐阅读
- 淘宝店铺注销后押金怎么办 淘宝店铺押金退了店铺还在吗
- 淘宝店老店新开好还是在开新店好 新开的淘宝店铺需要注意的问题
- 电脑用360安全卫士好还是腾讯管家好
- 太极不仅可以修身还可以养性
- 跳绳能瘦臀的吗?
- 淘宝注销了淘宝联盟还在吗 淘宝注销了淘宝联盟也会注销吗
- 在家怎么进行有氧运动
- 淘宝商品库存设置技巧 淘宝产品库存是多好还是少好
- 空手道会难学吗
- 单丛茶是红茶还是绿茶,特别香的茶是什么茶