分享一篇有关互联网,手机方面文章给大家,相信很多小伙伴们还是对互联网,手机这方面还是不太了解,那么小编也在网上收集到了一些关于手机和互联网这方面的相关知识来分享给大家,希望大家看了会喜欢。
近期360互联网安全中心接到大量用户举报,反馈系统反复全盘程序被感染。经排查发现用户中招前都是从一些下载站上下载了一些被恶意代码感染的外挂或工具软件,并且在360报毒后选择了退出360,导致全盘感染。
以其中一个QQ刷钻外挂为例,一个看似正常的下载页面:
但下载下来的外挂程序其实已经遭到了感染,和正常文件相比多了一个名为”.rmnet”区段:
通过分析手段可以从代码中清晰的看出,程序的入口代码已被恶意篡改,被增加了如下的一段恶意代码,用以执行恶意功能:
恶意代码执行后,会在程序相同目录下创建一个名为“本程序名+srv“的可执行文件,并写入恶意代码:
写入的代码如下所示。可以看出,该段具有明显的PE文件特征:
被生成的程序如下所示:
新生成的Srv程序被运行后会在C:\Program Files\Microsoft文件夹下创建名为DesktopLayer.exe的文件。该文件为主要功能的执行文件。
在DesktopLayer.exe运行中hook了ZwWriteVirtualMemory函数,由于CreateProcess函数中会调用ZwWriteVirtualMemory,因此程序实现了在创建IE进程的同时对IE进行注入。
最终,被注入的IE遍历全盘文件,感染全部可执行程序。感染的内容和之前被感染的外挂中被感染的内容相同。
对此,360安全卫士进行了拦截
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
标签: Ramnit感染型木马爆发