Molet

百锐捕获超强病毒 电脑屏幕变广告展板

Molet 安全防护 2023-01-06 405浏览 0

9月8日百锐安全实验室捕获到一种病毒的***的变种AD.W32.OLG.dc。该病毒最早出现在今年6月份,之后对抗杀软进一步更新技术。***变种感染后的计算机,每次开机无法执行任何操作,无法创建进程,电脑完全变成了广告宣传画(如下图所示),该病毒用恶劣的技术手段控制计算机,在染毒后未重启的情况下,会加入winlogon启动项, 结束进程管理器,explorer.exe ,阻止任何新进程的创建。

相比最近热门的BMW bioskit 病毒而言,他没有使用复杂的底层计算机,但无论是正常重启,还是安全模式重启(仅当以命令行安全模式,管理员身份登录时,恢复explorer启动才行,清除相关修改项),进行系统后都是无法进行任何操作。只能重新安装。该病毒目前可穿透多数流行的防御软件。

百锐捕获超强病毒 电脑屏幕变广告展板

开启百锐仅当实时监控,动态启发式分析可以检测该病毒。

百锐捕获超强病毒 电脑屏幕变广告展板

Jashla.exe是病毒的衍生文件

百锐捕获超强病毒 电脑屏幕变广告展板

该病毒外层采用upx 加壳,运行后会加入大量混淆数据,防止静态分析

百锐捕获超强病毒 电脑屏幕变广告展板

构造程序大量无意义跳转分析干扰分析

百锐捕获超强病毒 电脑屏幕变广告展板

在大量的变形代码中,加入解密的过程,前段程序解密后端代码 此时在解密中0x40c840出代码,而此时0x40c840是空白数据

百锐捕获超强病毒 电脑屏幕变广告展板

百锐捕获超强病毒 电脑屏幕变广告展板

解密后是继续混淆的功能代码。

百锐捕获超强病毒 电脑屏幕变广告展板

经过最终反复解密后,最终会运行真正的恶意代码

百锐捕获超强病毒 电脑屏幕变广告展板

该病毒会释放自身到下面目录,随机创建文件名称,并执行该进程,同时自删除自身。后续操作有另外新启动的进程执行。 C:\Documents and Settings\%user% \Application Data\fjhyf.exe”

该程序会读取自身是否的配置文件,决对下一步操作。 同时开启线程,

加载自身广告图片,设置当前系统的背景,此时用户无法操作界面上面图标,仅tab键可以使用。

判断操作系统版本,将自身进程路径加入到 “Software\Microsoft\Windows NT\CurrentVersion\Winlogon”,中做到随机启动。如不成功在加入自启动项中。同时结束掉系统的任务管理器和资源管理器。同时监控系统新启动的进程,发现则结束掉。

在另一个线程中,截获windows消息过滤并转发,保证当前背景图片始终是自身设置的广告,而当前桌面所有图标均被隐藏。 该病毒纯以恶意破坏为主,ByteHero百锐信息安全实验室提醒广大网友使用包括ByteHero百锐金盾BSD1.0在内的未知病毒防御软件保护您的数据安全。

免费下载百锐金盾:

官网下载:http://www.bytehero.com/download.asp

华军下载http://www.newhua.com/soft/46056.htm

继续浏览有关 企业动态 的文章
发表评论