又是一个学年。对父母来说,他们的孩子学年的开始可以被描述为“所有的动物回到笼子里,全世界都为之欢欣鼓舞”。为暑假而焦虑不安的老父老母终于获得了灵魂的极大解放。他们想在家里开心地看《甜蜜蜜》,但是当他们打开它时,他们发现1080P高清电视系列实际上被卡在了电脑屏幕上的PPT里。来源也来自最近臭名昭著的“灾难”僵尸网络。
最近,360 Security Brain检测到“灾难”僵尸网络使用十几个流氓软件分发三个病毒模块,即流量刷、挖掘、静默软件推广,攻击多达120,000台计算机,导致许多用户运行缓慢,甚至安装多达20种软件,如QQ音乐、简单压缩、旋风PDF等。在使用电脑的过程中自动进行,严重影响用户的使用体验。
僵尸网络卷土重来。
新添加的无声升级病毒模块肆意集资。
事实上,这并不是“灾难”第一次对网络发起大规模攻击。早在今年7月,360名安全大脑监控并拦截了“灾难”僵尸网络。当时,它携带流氓软件来分发两个病毒模块,流量刷和挖掘。它用这两种方法暴富,影响了25万台计算机的运行。现在,“灾难”卷土重来,“隐藏刷”、“挖掘”和“无声推广”再次攻击,肆意破坏用户电脑获取巨额利润,可以说是威胁性的。
此次僵尸网络“灾难”无声推广软件列表
此外,360 Safe Brain还监控到在“灾难”病毒样本的传播中使用了7种不同的有效数字签名。有了这么大的投资,可以想象这个僵尸网络能给它背后的黑人生产团体带来多少好处。然而,用户不需要担心。目前,已有360名保安彻底拦截了“灾难”僵尸网络的系列攻击。建议用户及时下载并安装360名保安,以保护计算机隐私和财产安全。
本次“灾难”僵尸网络中使用的七个数字签名
360安全大脑深度可追溯性
恢复“灾难”攻击的开始和结束
为避免攻击感染区域的进一步扩大,360安全大脑经过深度可追溯性分析,完全恢复了“灾难”僵尸网络攻击的全貌。数据显示,这场“灾难”僵尸网络仍将通过十多个流氓软件传播,如“快速读图”、“魔方快速搜索”和“无忧读图”。感染模式与以前的版本相比没有太大变化。然而,在僵尸网络发布的利润模块中,除了隐藏刷和挖掘之外,还增加了一个用于恶意升级的病毒驱动程序RomFS.sys。文件属性如下:
驱动程序将在启动后将病毒动态库注入系统进程。动态库和导入表的字符串已经混合在一起,并且在运行之后,它们首先被异或解密。还原字符串和导入表:
然后检测调试和虚拟机环境:
钩子子程加载Dll禁止正常加载以下安全模块:
系统信息将被收集并发送到抄送服务器请求配置文件:
然后解密从服务器返回的加密数据:
最后解密json格式配置文件并将其保存到hk解密后的配置文件如下图所示:
配置文件中不同的CLSID代表不同的分支,对应于CLSID的注册表用于存储加密的不同病毒模块。当动态库检测到相应注册表键值的存在时,它将读取其中的加密模块进行解密和加载。相关解密过程如下:
最终解密的病毒模块将执行恶意升级的病毒逻辑,其完整过程如下:
这种细致无声的升级方法,再加上“流量隐藏刷”和“挖掘”两大攻击模块,一旦“灾难”进入,肯定会给用户的计算机带来极大的危害。为了防止僵尸网络攻击进一步扩大感染范围,360 Safe Brain建议用户采取以下防御措施来保护计算机隐私和财产安全:
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!