本篇文章内容 头条首发,将同步至 风暴蟹 同名公众号哦!(未经允许不得私自转载)
一、事件概述
近期毒霸安全团队在日常样本监控中发现一批云控后门模块的传播感染量大幅上涨,其主要宿主程序为"广州天行客网络科技有限公司"旗下的多款装机工具中,包括:"韩博士"、"黑鲨"、"大地"等系统重装软件。
从我们的溯源结果分析发现,该款恶意装机软件"改头换面"成为驱动人生旗下的"一键重装",但是同样内嵌后门模块,这也是近期该后门感染量急剧上升的重要原因之一。虽然目前该后门模块暂时处于休眠状态,但是分析线索显示该后门和2015年肆虐网络的苏拉克Rootkit劫持病毒可能存在密切关联,安全隐患不容忽视。我们呼吁广大用户安装正版系统,避免不必要的安全损失。
二、技术分析
以下我们以"驱动人生一键重装"为例进行分析,该软件目前可在"驱动人生"官网下载,但数字签名依旧为"广州天行客网络科技有限公司",其中内嵌的后门模块为"InsNet.dll",该模块使用VMP加壳保护隐藏后门代码。
通过脱壳分析,该模块所有导出功能函数共用同一个工作线程,通过标记序号执行信息上报、渠道配置等功能,其中就包括后门代码,从相关日志函数字符串非常明显看出其后门功能身份,如此直白的恶意代码也非常少见。
后门模块优先从注册表读取后门服务器IP、端口配置,如果不存在则检查注册表中机器启动次数、特定标记和控制域名"1.xitongss.com"的解析状态,如果不满足条件则继续休眠,否则连接控制域名,通过自定义协议(RSA加密)获取后门相关配置。
从目前控制域名的解析状态和我们的跟踪监控情况来看,该后门长期处于休眠状态,但是安全风险不容忽视,我们在后门模块中还发现该后门模块和2015年肆虐网络的苏拉克Rootkit劫持病毒存在疑似关联,极有可能是其重要传播渠道之一。
如上图,后门工作代码指定的保护服务配置正是苏拉克(surak)病毒,该病毒作为顽固劫持Rootkit曾经通过ghost系统、激活工具等渠道在2015年广泛传播,除了主页锁定、推送病毒,还通过系统预置、破坏系统安全机制等手法大范围对抗安全软件正常安装使用。
我们尝试通过该软件安装windows系统之后,发现预装多款浏览器主页均被篡改并安装多款流氓插件,并且预装的360等安全软件的信任区被预先添加多款病毒、流氓软件,这也是恶意装机工具预置后门对抗查杀的常用手法。
三、安全建议
装机工具、盗版ghost系统、系统激活工具一直都是恶意顽固木马的传播温床,一般通过预置流量劫持类Rootkit木马、预装流氓软件、篡改用户主页、安装恶意浏览器插件等方式牟利,对用户系统安全性造成极大隐患,我们建议用户慎用此类风险软件,目前毒霸可以有效查杀拦截此类装机软件后门。
文章转载来源:吾爱
金山毒霸:苏拉克病毒阴魂不散, 多款装机软件暗藏后门如果喜欢我们的文章,请收藏或者点赞,关注,随时随地看一下,你会发现随时都有惊喜,你的关注将会物超所值哦!(๑•ᴗ•๑)
点我头像,进入查看每日30秒简报,快速了解今日最新资讯。
如果您喜欢我的文章,请点个关注,点个赞,我们只更新精品,我们只更新最好的,您的关注和点赞是我们前进的动力,您的点赞和关注我们将会使其物超所值。(๑•ᴗ•๑)
编辑:小蟹
注:风暴蟹文章,未经允许禁止转载,如有转载请注明链接和出处;另外如果我的文章侵犯了您的权益,请私信我进行删改。
特别声明:文章来源用户上传并发布,本站只提供信息存储服务,不拥有所有权,内容仅供参考。