亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Zero Access木馬可以在kernelinfo.com進(jìn)行下載。

在所有的分析中，第一步是隔離受影響的系統(tǒng)。在這之后，便是對整個(gè)系統(tǒng)進(jìn)行惡意軟件掃描。初看一眼，沒有什么有價(jià)值的東西，進(jìn)一步分析后在%TEMP%目錄下發(fā)現(xiàn)受感染的文件。同時(shí)在%SYSTEM%目錄下也發(fā)現(xiàn)了一個(gè)可疑文件，該文件是一個(gè)擁有ACL權(quán)限保護(hù)的配置文件。

提取文件并在沙盒中運(yùn)行，確認(rèn)網(wǎng)絡(luò)指針。最終結(jié)果表明該文件屬于Zero Access的一個(gè)組件。

這個(gè)文件的名稱為fvshis.sav，文件內(nèi)容進(jìn)行了加密。

從內(nèi)存中提取可執(zhí)行文件中的字符串以及發(fā)現(xiàn)的幾個(gè)構(gòu)件，證實(shí)這是一個(gè)32位版本的Max++ dropper病毒組件。

接下來分析木馬的dropper組件，咋眼一看這程序竟然沒有殼？

然而，在使用一個(gè)復(fù)雜的自定義脫殼工具還是發(fā)現(xiàn)了它的保護(hù)殼。同時(shí)發(fā)現(xiàn)可執(zhí)行文件還有一個(gè)復(fù)雜的反匯編機(jī)制，這使得我們的分析變得更加有挑戰(zhàn)咯。

INT 2標(biāo)志著當(dāng)程序意識到程序正在被調(diào)試，允許系統(tǒng)中斷。也就是說這個(gè)程序可以檢測到自己是否在被調(diào)試，如果正在被調(diào)試它會結(jié)束自己。它的打包機(jī)制也使得這個(gè)木馬變得非常復(fù)雜。

我們發(fā)現(xiàn)dropper組件使用了一個(gè)復(fù)雜的封裝機(jī)制，拆包是在塊中進(jìn)行且每一個(gè)塊中都有一行反調(diào)試代碼。

dropper組件會一直使用這種方法進(jìn)行解壓直到整個(gè)文件解壓完成。如果分析者使用調(diào)試程序強(qiáng)行進(jìn)入這個(gè)周期，這個(gè)可執(zhí)行文件將會導(dǎo)致調(diào)試程序崩潰。經(jīng)過我們的不懈努力，這個(gè)樣品文件被解開。

樣本文件試圖訪問計(jì)算機(jī)中的幾個(gè)目錄：

從在代碼中使用INT2指令，我們意識到樣品文件可能是一個(gè)循環(huán)Zero rootkit，即它在內(nèi)核模式中運(yùn)行。對樣品文件內(nèi)存分析完成之后，發(fā)現(xiàn)它在內(nèi)存中創(chuàng)建了一個(gè)互斥鎖。惡意軟件使用這種互斥,以確保系統(tǒng)不會再感染相同的樣本：

木馬將自己注入到一個(gè)合法的進(jìn)程(explorer.exe)，并使用這個(gè)進(jìn)程加載自己：

其后，發(fā)現(xiàn)樣本本身作為一個(gè)內(nèi)核模塊隱藏在系統(tǒng)：

在內(nèi)存中木馬偽裝為一個(gè)設(shè)備驅(qū)動程序的，該設(shè)備名為B48DADF8.sys ，我們對其進(jìn)行進(jìn)一步分析：

經(jīng)過初步分析，隔離受感染的系統(tǒng)后可疑流量源頭總算是找到了，以下為更詳細(xì)的分析：

HTTP請求到一個(gè)特定的域：

dropper組件顯然在嘗試連接上面截圖中的地址，下載其他類型的病毒。

我們對這個(gè)域名進(jìn)行了如下分析：

解析IP地址后發(fā)現(xiàn)該IP地址位于瑞士蘇黎世，瑞士法律對于隱私保護(hù)十分到位，這使得瑞士被許多人稱贊，同樣的犯罪分子也十分熱衷瑞士！

進(jìn)一步對其域名分析顯示此域名有解析有3個(gè)IP地址，其中包括了上圖給出的那個(gè)。所有的IP地址都位于隱私保護(hù)極強(qiáng)的地區(qū)

我們發(fā)現(xiàn)這3個(gè)惡意IP地址被列入黑名單:

141.8.225.62 (瑞士)

199.79.60.109 (開曼群島)

208.91.196.109 (開曼群島)

盡管這個(gè)特別的木馬不竊取用戶信息，但我們從詐騙點(diǎn)擊以及比特幣挖掘模塊中獲取大量的流量。

尾聲

請確保你的系統(tǒng)打好最新的補(bǔ)丁，尤其下面的漏洞，因?yàn)檫@木馬利用他們感染你的系統(tǒng)：

CVE-2006-0003

CVE-2008-2992

CVE-2009-0927

CVE-2009-1671

CVE-2009-1672

CVE-2009-4324

CVE-2010-1885

百科：Zero Access Rootkit、木馬

Zero Access Rootkit，它也被叫做惡意軟件Smiscar或Max++ rootkit，Crimeware。它在世界范圍內(nèi)已經(jīng)影響到數(shù)百萬臺計(jì)算機(jī)，它是造成網(wǎng)絡(luò)點(diǎn)擊詐騙方式的罪魁禍?zhǔn)字弧Ｒ坏┠抉R進(jìn)入用戶系統(tǒng)中，他就 開始下載各種不同類型的病毒。

該木馬主要是通過垃圾郵件以及利用工具進(jìn)行傳播，同時(shí)它也能夠通過P2P分布式文件共享服務(wù)進(jìn)行傳播。這個(gè)木馬的獨(dú)特之處在于，其連接到一個(gè)P2P僵尸網(wǎng)絡(luò)鏈之中，這使得拆除整個(gè)僵尸網(wǎng)絡(luò)難度增高。

Zero Access使用先進(jìn)的隱身機(jī)制，在幾種殺毒軟件下它有能力隱藏自身躲避被查殺的命運(yùn)，并且它依附于系統(tǒng)文件中所以很難查明。目前還沒有證據(jù)表明它會泄漏用戶數(shù)據(jù)。通常可執(zhí)行文件會駐留在%TEMP%目錄。

Zero Access一旦進(jìn)入系統(tǒng)便可執(zhí)行各種各樣的命令，包括：

1.使用受感染的電腦進(jìn)行點(diǎn)擊欺詐和比特幣挖掘

2.下載其他類型的病毒對系統(tǒng)進(jìn)行感染

3.依附在系統(tǒng)中，隱藏自己不被查殺

4.提取受害者信息，包括名稱、主機(jī)名、計(jì)算機(jī)名稱、賬戶名稱等等