污水泵厂家
免费服务热线

Free service

hotline

010-00000000
污水泵厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

AVG中国实验室发现白加黑型恶意程序

发布时间:2021-01-22 03:48:31 阅读: 来源:污水泵厂家

8月30日,AVG中国病毒实验室近日发现一类为了躲过杀毒软件主动防御,利用正常程序加载和执行恶意代码的木马程序正在大规模爆发。这种木马由两部分组成:正常的程序加恶意程序,正常程序被利用后,恶意代码即可被加载和执行。AVG实验室将该木马命名为“白加黑”恶意程序。

下面这款木马程序就是采用此种方式执行。下图是该木马的WinMain函数,看起来虽然是很简单,但是在Fn_ReleaseVirusFile这个函数中却别有洞天。

该木马通过申请内存,然后将主要代码拷贝到其中并执行。

这段代码实现的功能相当复杂,会根据程序启动时的参数执行不同流程,实现不同的功能。让我们看看它究竟复杂在哪:

1. 该木马首次执行时没有参数,会在system32目录下释放e,l和r这三个文件。e为正常文件,有合法的数字签名;l恶意文件;r为一段shellcode。然后通过com方式创建并启动服务。

2. 服务启动后,e得到执行并通过导入表加载l,l会在其dllmain函数中修改e的入口代码,转到l中的代码,然后读取r中的代码到内存中并执行。

3. 当启动参数为“200 0”时,该木马会启动e进程,写入恶意代码,修改程序入口代码,跳转到恶意代码执行。

4. 当参数为”k”时,该木马会加载多种插件,包括keylogger模块、远程控制模块、木马隐藏模块等等。

5. AVG通过对比写入的代码,发现该木马所有进程间的注入代码都是r文件中保存的二进制代码,只是通过进程启动时的参数来控制程序的流程,以实现不同的功能。

另外,该木马可能正处于测试阶段,因为在代码出现了如下字符串:

该木马通过申请内存,然后将主要代码拷贝到其中并执行。

这段代码实现的功能相当复杂,会根据程序启动时的参数执行不同流程,实现不同的功能。让我们看看它究竟复杂在哪:

1. 该木马首次执行时没有参数,会在system32目录下释放e,l和r这三个文件。e为正常文件,有合法的数字签名;l恶意文件;r为一段shellcode。然后通过com方式创建并启动服务。

2. 服务启动后,e得到执行并通过导入表加载l,l会在其dllmain函数中修改e的入口代码,转到l中的代码,然后读取r中的代码到内存中并执行。

3. 当启动参数为“200 0”时,该木马会启动e进程,写入恶意代码,修改程序入口代码,跳转到恶意代码执行。

4. 当参数为”k”时,该木马会加载多种插件,包括keylogger模块、远程控制模块、木马隐藏模块等等。

5. AVG通过对比写入的代码,发现该木马所有进程间的注入代码都是r文件中保存的二进制代码,只是通过进程启动时的参数来控制程序的流程,以实现不同的功能。

另外,该木马可能正处于测试阶段,因为在代码出现了如下字符串:

青龙偃月刀

武神传说

乱世无双手游版