AVG提醒您注意防范白加黑型恶意程序iyiou.com

2019年03月12日 来源:

AVG提醒您注意防范“白加黑”型恶意程序

近日,AVG中国病毒实验室发现一类为了躲过杀毒软件主动防御,利用正常程序加载和执行恶意代码的木马程序正在大规模爆发。这种木马由两部分组成:正常的程序加恶意程序,正常程序被利用后,恶意代码即可被加载和执行。AVG实验室将该木马命名为白加黑恶意程序。

下面这款木马程序就是采用此种方式执行。下图是该木马的WinMain函数,看起来虽然是很简单,但是在Fn_ReleaseVirusFile这个函数中却别有洞天。

该木马通过申请内存,然后将主要代码拷贝到其中并执行。

这段代码实现的功能相当复杂,会根据程序启动时的参数执行不同流程,实现不同的功能。让我们看看它究竟复杂在哪:

1. 该木马首次执行时没有参数,会在system32目录下释放e,l和r这三个文件。e为正常文件(就是我们所说的白),有合法的数字签名;l恶意文件(就是我们所说的黑);r为一段shellcode。然后通过com方式创建并启动服务。

2. 服务启动后,e得到执行并通过导入表加载l,l会在其dllmain函数中修改e的入口代码,转到l中的代码,然后读取r中的代码到内存中并执行。

3. 当启动参数为200 0时,该木马会启动e进程,写入恶意代码,修改程序入口代码,跳转到恶意代码执行。

4. 当参数为k时,该木马会加载多种插件,包括keylogger(键盘记录)模块、远程控制模块、木马隐藏模块等等。

5. AVG通过对比写入的代码,发现该木马所有进程间的注入代码都是r文件中保存的二进制代码,只“兼听则明是通过进程启动时的参数来控制程序的流程,以实现不同的功能。

另外,该木马可能正处于测试阶段,因为在代码出现了如下字符串:

AVG提醒您,一定要注意防范此类恶意程序,一旦中招,就会对您造成不必要的损失。防范此类恶意程序,可安装AVG杀毒软件,并及时更新至版本。已经安装AVG的用户可以放心使用您的电脑。

安防领域
化塑汇与耀盛保理达成合作授信额度达1亿
2016年烟台人工智能C+轮企业
相关文章
  • 图说新闻李庆峰朱瑞张卫东
    图说新闻李庆峰朱瑞张卫东

    12月1日,泗阳县在县农村道路生命安全防护工程指挥部再次召开推进会。副县长、公安局长李庆峰就全县农村道路生命安全防护工程推进提出具体要求,强调对重点和急办项目落实专项措施,对难点、热点项目采取特殊措施攻坚推进。县公安、交运、教育等14家成员...

  • 河南两名警察刑讯逼供致残当事人被逮捕
    河南两名警察刑讯逼供致残当事人被逮捕

    随后介入调查的的检察机关认为:警方刑讯逼供行为事实清楚。资料图资料图新蔡县位于河南省东南部,是豫皖两省四市六县结合部,也是河南省直管县,总人口达113万。杨杰家所在的弥陀寺乡杨庄位于新蔡县西北方,从驻马店市赶往县城需坐2个多小时大巴车,从县...

  • 两岸中秋包机11家航空公司参与
    两岸中秋包机11家航空公司参与

    两岸中秋包机11家航空公司参与台海9月20日讯 今年中秋节假期两岸包机期限从9月29日至10月13日共15天,岛内交通主管部门表示,目前两岸共11家航空公司、48架次提出申请,实际申请飞航天数有5天。其中以台北到上海航班占大多数,由29日飞往上海的台湾长荣航空抢得...

  • 拒外援事件夏立言下台
    拒外援事件夏立言下台

    拒外援事件 夏立言下台台海8月18日讯 莫拉克风灾重创台湾,救灾备受抨击,马陷入政治暴风圈。针对婉拒外援的“白目电报”事件,“外交部”政务次长夏立言昨天请辞获准。据《联合报》报道,夏立言昨晚证实,他昨天上午向“外交部长”欧鸿炼递出辞呈,夏立...

  • 公交车司机语音反复播报同一内容是暗示车上有贼
    公交车司机语音反复播报同一内容是暗示车上有贼

    公交车司机:语音反复播报同一内容是暗示车上有贼原标题:语音反复播报同一内容 那是司机在暗示车上有贼红长沙县站10月31日讯(分站 潘东晓)大家坐公交车时,要保管好自己的物品。另外一定要多个心眼,注意司机师傅的各种提醒。如果广播反复播报请保管好...

  • 从娃娃抓起北京公园现儿童挖掘机
    从娃娃抓起北京公园现儿童挖掘机

    摘 要:近一段时间,挖掘机成为络一大热门话题,在各种段子后面总会来一句“那么问题来了,学挖掘机技术哪家强?”随着蓝翔技校被曝副校长率师生赴河南打人,作为该校的知名品牌挖掘机再次被众多友调侃。近日,是杨先生在微博上晒出孩子玩儿童挖掘机的...