網路開箱文都是推薦

一、事件概述 近期毒霸安全團隊在日常樣本監控中發現一批雲控後門模塊的傳播感染量大幅上漲，其主要宿主程序為"廣州天行客網絡科技有限公司"旗下的多款裝機工具中，包括："韓博士"、"黑鯊"、"大地"等系統重裝軟體。 從我們的溯源結果分析發現，該款惡意裝機軟體"改頭換面"成為驅動人生旗下的"一鍵重裝"，但是同樣內嵌後門模塊，這也是近期該後門感染量急劇上升的重要原因之一。雖然目前該後門模塊暫時處於休眠狀態，但是分析線索顯示該後門和2015年肆虐網絡的「蘇拉克」Rootkit劫持病毒可能存在密切關聯，安全隱患不容忽視。我們呼籲廣大用戶安裝正版系統，避免不必要的安全損失。 二、技術分析 以下我們以"驅動人生一鍵重裝"為例進行分析，該軟體目前可在"驅動人生"官網下載，但數字簽名依舊為"廣州天行客網絡科技有限公司"，其中內嵌的後門模塊為"InsNet.dll"，該模塊使用VMP加殼保護隱藏後門代碼。 通過脫殼分析，該模塊所有導出功能函數共用同一個工作線程，通過標記序號執行信息上報、渠道配置等功能，其中就包括後門代碼，從相關日誌函數字符串非常明顯看出其後門功能身份，如此直白的惡意代碼也非常少見。 後門模塊優先從註冊表讀取後門伺服器IP、埠配置，如果不存在則檢查註冊表中機器啟動次數、特定標記和控制域名"1.xitongss.com"的解析狀態，如果不滿足條件則繼續休眠，否則連接控制域名，通過自定義協議(RSA加密)獲取後門相關配置。 從目前控制域名的解析狀態和我們的跟蹤監控情況來看，該後門長期處於休眠狀態，但是安全風險不容忽視，我們在後門模塊中還發現該後門模塊和2015年肆虐網絡的「蘇拉克」Rootkit劫持病毒存在疑似關聯，極有可能是其重要傳播渠道之一。 如上圖，後門工作代碼指定的保護服務配置正是「蘇拉克(surak)」病毒，該病毒作為頑固劫持Rootkit曾經通過ghost系統、激活工具等渠道在2015年廣泛傳播，除了主頁鎖定、推送病毒，還通過系統預置、破壞系統安全機制等手法大範圍對抗安全軟體正常安裝使用。 我們嘗試通過該軟體安裝windows系統之後，發現預裝多款瀏覽器主頁均被篡改並安裝多款流氓插件，並且預裝的360等安全軟體的信任區被預先添加多款病毒、流氓軟體，這也是惡意裝機工具預置後門對抗查殺的常用手法。 三、安全建議 裝機工具、盜版ghost系統、系統激活工具一直都是惡意頑固木馬的傳播溫床，一般通過預置流量劫持類Rootkit木馬、預裝流氓軟體、篡改用戶主頁、安裝惡意瀏覽器插件等方式牟利，對用戶系統安全性造成極大隱患，我們建議用戶慎用此類風險軟體，目前毒霸可以有效查殺攔截此類裝機軟體後門。 四、IOC 域名/IP/URL: *.xitongss.com hxxp://file1.updrv.com/soft/OnekeySetup/1.0.7.240/OnekeySetup_1111_1.0.7.240.exe hxxp://softdown.coumie.top:8010/HanBoShiV2_Install.exe hxxp://softdown.coumie.top:8010/HeiShaV2_Install.exe HASH: A0CADE54D6CD94A45901C93D4C197384 69D1BACE961BE35D7312064FCC181970 20B6F5BE730EA47C6ABBC76A249F5B88 57DA9932FA5BCBEB5C686913242A01D5 D7A2A5C87D6BBAA871046F93A7C31752

詳細資料

文章來源取自於：

壹讀 https://read01.com/5nd5jzJ.html

博客來 https://www.books.com.tw/exep/assp.php/888words/products/0010290476

如有侵權，請來信告知，我們會立刻下架。

DMCA：dmca(at)kubonews.com

聯絡我們：contact(at)kubonews.com

南投瞳孔擴張或收縮看什麼科中寮強迫症治療中醫竹山鎮長期頭暈改善中醫診所
鹿谷鄉噁心治療有效中醫診所 國姓鄉喉嚨異物感改善中醫診所 最推薦的溪湖中醫診所，自律神經失調改善很多埔心下背酸痛看什麼科 南投睡眠障礙門診看什麼科 Dcard推薦的鹿港中醫診所，失眠睡不著改善很多名間鄉噁心看什麼科 鹿港壓力大改善中醫診所 很多人都在這員林中醫診所看好的，自律神經失調改善很多大葉大學附近推薦常常睡不著或很早就醒來中醫推薦 大葉大學附近推薦頭痛看什麼科 很多人都在這草屯中醫診所看好的，自律神經失調改善很多