近日,360安全大脑检测到“远程控制木马”死灰复燃,大量传播。此前查杀木马,木马通过下载网站、钓鱼邮件、QQ群等渠道传播,并通过各种手段规避安全软件的检测和查杀。它是一种具有下载和内存执行功能的程序。危害很大。目前,360安全大脑已全面拦截木马攻击。建议用户及时下载安装360安全卫士,保护笔记本隐私和财产安全。
远程控制木马的整体工作流程
从天而降的伪装“无污染”文件
黑暗陈仓发布病毒攻击模块
经过对360安全大脑的深入回顾分析,发现此次木马攻击。该木马主要以标题敏感的CHM文件为诱饵,利用钓鱼邮件诱使用户点击,达到攻击目的。因为CHM(Help),也叫“编译好的HTML帮助文件”,常用于制作说明文档、电子书等,方便查阅。在大多数人的印象中,CHM类型的文件是“无污染”的文件。文档往往是毫无防备的,自然而然地利用这种具有诱惑力的文档来进行权力攻击。
木马作者使用的部分CHM文件名
另外,360安全大脑在对CHM文件进行跟踪分析后发现,远程控制木马的核心是一个带有云控制功能的HTML脚本。当用户运行假CHM文件时,会手动弹出“精心装扮”的假网页访问404图片,同时潜伏在系统后台已久的黑客程序也突然跑了。
以下代码被作者混淆。通过技术分析,我们找到了木马作者攻击工具的下载地址。
1、使用.exe下载访问404的网站截图run.jpg误导用户。
2、使用.exe下载压缩的电力攻击模块temp1.jpg.
3、使用.exe下载解压工具.jpg。
4、运行工具解压power 模块,密码为“Tatoo”。
“黑白”伪装躲避安全审查
任意代码执行力攻击技能近在咫尺
病毒攻击模块下载解压完成后,远程控制木马将进入即将进行的攻击过程。值得注意的是,在整个过程中,木马会通过各种手段避免对安全软件的检测和查杀,其中一种就是“黑白”方式——利用普通白文件的有效数字签名通过检测到安全软件,并且白色文件运行后加载相应的病毒模块,攻击过程如下:
1、首先木马作者会启动.exe文件,这是雷蛇的鼠标和键盘管理程序,是一个没用的普通程序。
2、.exe会加载黑色模块.dll查杀木马,这是木马作者经常使用的“黑白”方式。
3、.dll 是一个程序,其任务是暴露显存中的 .log 文件,并在显存中加载并运行该恶意模块。
4、调用恶意模块的导入函数“”执行远程控制代码流。
此外,360安全大脑检测到该木马还具有一系列自我保护功能,通过添加注册表、内置安全软件软件检测等方式达到长期驻留的目的。
添加注册表,常年停留
遥控功能(部分)
外部安全软件清单
远程控制木马作恶多端
360安全大脑全面截杀
在遥控木马面前,有防杀毒软件的措施,避免大招,再有遥控力量攻击技能,可以执行任意代码。大脑采用多种技术手段对最新的木马病毒进行防御和检测,并率先对此类木马进行了检测和查杀。为防止此类攻击的感染情况进一步扩大,对于办公和家用笔记本,360安全大脑建议:
1、尽快到达,及时下载安装360安全卫士,保护个人信息和财产安全;
2、使用360软件管理器下载软件。 360软件管家包含10000个正版软件,经过360安全大脑白名单检查、下载、安装、升级,更安全。
安排国际奥委会
![大将军[清软]完结下载_大将军[清软]完结2022最新破解版(今日已更新)](/uploads/2022/08/0802103301554.png)
