又是一个学年。对父母来说，他们的孩子学年的开始可以被描述为“所有的动物回到笼子里，全世界都为之欢欣鼓舞”。为暑假而焦虑不安的老父老母终于获得了灵魂的极大解放。他们想在家里开心地看《甜蜜蜜》，但是当他们打开它时，他们发现1080P高清电视系列实际上被卡在了电脑屏幕上的PPT里。来源也来自最近臭名昭著的“灾难”僵尸网络。

最近，360 Security Brain检测到“灾难”僵尸网络使用十几个流氓软件分发三个病毒模块，即流量刷、挖掘、静默软件推广，攻击多达120，000台计算机，导致许多用户运行缓慢，甚至安装多达20种软件，如QQ音乐、简单压缩、旋风PDF等。在使用电脑的过程中自动进行，严重影响用户的使用体验。

僵尸网络卷土重来。

新添加的无声升级病毒模块肆意集资。

事实上，这并不是“灾难”第一次对网络发起大规模攻击。早在今年7月，360名安全大脑监控并拦截了“灾难”僵尸网络。当时，它携带流氓软件来分发两个病毒模块，流量刷和挖掘。它用这两种方法暴富，影响了25万台计算机的运行。现在，“灾难”卷土重来，“隐藏刷”、“挖掘”和“无声推广”再次攻击，肆意破坏用户电脑获取巨额利润，可以说是威胁性的。

此次僵尸网络“灾难”无声推广软件列表

此外，360 Safe Brain还监控到在“灾难”病毒样本的传播中使用了7种不同的有效数字签名。有了这么大的投资，可以想象这个僵尸网络能给它背后的黑人生产团体带来多少好处。然而，用户不需要担心。目前，已有360名保安彻底拦截了“灾难”僵尸网络的系列攻击。建议用户及时下载并安装360名保安，以保护计算机隐私和财产安全。

本次“灾难”僵尸网络中使用的七个数字签名

360安全大脑深度可追溯性

恢复“灾难”攻击的开始和结束

为避免攻击感染区域的进一步扩大，360安全大脑经过深度可追溯性分析，完全恢复了“灾难”僵尸网络攻击的全貌。数据显示，这场“灾难”僵尸网络仍将通过十多个流氓软件传播，如“快速读图”、“魔方快速搜索”和“无忧读图”。感染模式与以前的版本相比没有太大变化。然而，在僵尸网络发布的利润模块中，除了隐藏刷和挖掘之外，还增加了一个用于恶意升级的病毒驱动程序RomFS.sys。文件属性如下:

驱动程序将在启动后将病毒动态库注入系统进程。动态库和导入表的字符串已经混合在一起，并且在运行之后，它们首先被异或解密。还原字符串和导入表:

然后检测调试和虚拟机环境:

钩子子程加载Dll禁止正常加载以下安全模块:

系统信息将被收集并发送到抄送服务器请求配置文件:

然后解密从服务器返回的加密数据:

最后解密json格式配置文件并将其保存到hk解密后的配置文件如下图所示:

配置文件中不同的CLSID代表不同的分支，对应于CLSID的注册表用于存储加密的不同病毒模块。当动态库检测到相应注册表键值的存在时，它将读取其中的加密模块进行解密和加载。相关解密过程如下:

最终解密的病毒模块将执行恶意升级的病毒逻辑，其完整过程如下:

这种细致无声的升级方法，再加上“流量隐藏刷”和“挖掘”两大攻击模块，一旦“灾难”进入，肯定会给用户的计算机带来极大的危害。为了防止僵尸网络攻击进一步扩大感染范围，360 Safe Brain建议用户采取以下防御措施来保护计算机隐私和财产安全: