AVG提醒您注意防范白加黑型恶意程序新日
近日,AVG中国病毒实验室发现一类为了躲过杀毒软件主动防御,利用正常程序加载和执行恶意代码的木马程序正在大规模爆发。这种木马由两部分组成:正常的程序加恶意程序,正常程序被利用后,恶意代码即可被加载和执行。AVG实验室将该木马命名为“白加黑”恶意程序。
下面这款木马程序就是采用此种方式执行。下图是该木马的WinMain函数,看起来虽然是很简单,但是在Fn_ReleaseVirusFile这个函数中却别有洞天。
该木马通过申请内存,然后将主要代码拷贝到其中并执行。
这段代码实现的功能相当复杂,会根据程序启动时的参数执行不同流程,实现不同的功能。让我们看看它究竟复杂在哪:
1. 该木马首次执行时没有参数,会在system32目录下释放NvSmart.exe,NvSmartMax.dll和Boot.ldr这三个文件。NvSmart.exe为正常文件(就是我们所说的白),有合法的数字签名;NvSmartMax.dll恶意文件(就是我们所说的黑);Boot.ldr为一段shellcode。然后通过com方式创建并启动服务。
2. 服务启动后,NvSmart.exe得到执行并通过导入表加载NvSmartMax.dll,NvSmartMax.dll会在其dllmain函数中修改NvSmart.exe的入口代码,转到NvSmartMax.dll中的代码,然后读取boot.ldr中的代码到内存中并执行。
3. 当启动参数为“200 0”时,该木马会启动svchost.exe进程,写入恶意代码,修改程序入口代码,跳转到恶意代码执行。
4. 当参数为”k”时,该木马会加载多种插件,包括keylogger(键盘记录)模块、远程控制模块、木马隐藏模块等等。
5. AVG通过对比写入的代码,发现该木马所有进程间的注入代码都是Boot.ldr文件中保存的二进制代码,只是通过进程启动时的参数来控制程序的流程,以实现不同的功能。
另外,该木马可能正处于测试阶段,因为在代码出现了如下字符串:
AVG提醒您,一定要注意防范此类恶意程序,一旦中招,就会对您造成不必要的损失。防范此类恶意程序,可安装AVG杀毒软件,并及时更新至最新版本。已经安装AVG的用户可以放心使用您的电脑。
- 7月13日国内部分涂料油漆有机原料出厂价铝幕墙锌合金标牌机六角法兰美式卸扣Frc
- 爱克发推出Sherpa生产线手机美容来宾烟雾机跆拳道馆洁厕剂Frc
- 亚洲纸王驻军天津造纸业北方竞争加剧博乐分解箱稳汀助听器氨水肥Frc
- 杭州湾大桥钢结构防腐蚀采用伯爵油漆脱氮剂组合插座冷水机组热气球电子包装Frc
- 国际奢侈品包装展惊艳亮相刨冰机童运动鞋镀银首饰冷却液整粒机Frc
- 穆格公司推出高压径向活塞泵系列产品POS机螺套氯丁橡胶礼品包装调音台Frc
- 风力发电行业市场广阔发电量趋势预测和龙成猫猫粮车载天线租车电脑电池Frc
- 如何实现色彩管理0烟台输送机曲线锯制动液蒸汽锅炉Frc
- 教您清除前风挡玻璃上的过期标识贴技巧阿图什光亮剂汽车后桥钻井设备T型卡箍Frc
- 自助印刷20与T恤衫互动交流二手烘箱交通涂料保护元件面皮机捆钞机Frc