欧美午夜人成精品_好姑娘3完整版在线观看中文韩剧_性ⅩXX东北老太老头国产_一个添下面两个吃奶把腿扒开_日本波多野结衣无码黄色一级视频_国产剧情麻豆正在播放_亚洲欧美另类日韩变态首页_亚洲av免费影视_91免费在线播放_五月丁香婷婷综合

<strike id="6iakw"><input id="6iakw"></input></strike>

新聞資訊

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心|蠕蟲病毒偽裝傳播，根目錄文件遭神秘刪除

近期，火絨威脅情報中心監(jiān)測到一款通過改名為USB Disk來欺騙用戶執(zhí)行的蠕蟲病毒正在傳播，火絨安全工程師第一時間提取樣本進行分析。分析過程中發(fā)現(xiàn)該程序在后臺自動感染每個插入的可移動磁盤，并將原文件移動到一個隱藏文件夾中。隨后，程序創(chuàng)建一個名為“USB Disk.exe”的文件，誘導用戶點擊以執(zhí)行病毒程序。同時，程序還會啟動后門進程，試圖控制用戶主機成為自己的肉雞。目前，火絨安全產(chǎn)品可對上述病毒進行攔截查殺，請廣大用戶及時更新病毒庫以提高防御能力。

在此，火絨工程師提醒大家對來歷不明的文件應(yīng)保持警惕，同時安裝可靠的安全軟件保護設(shè)備免受惡意軟件和病毒的侵害。目前，火絨6.0已正式上線，綜合用戶的實際場景、使用感受和建議等多個方面，在形式、功能和操作等方面均進行了改進與創(chuàng)新，升級反病毒引擎等核心技術(shù)，精細化病毒查殺設(shè)置，增加更多威脅檢測點，為“殺、防、管、控”增強壁壘。歡迎大家前往火絨官方網(wǎng)站下載體驗。

一、樣本分析

分析得出該病毒通過多個模塊協(xié)同工作，通過白加黑的手段，具備較強的隱蔽性。其包含U盤傳播、虛擬機檢測、自啟動設(shè)置、文件管理和CMD后門等多種惡意行為。

其中白文件是wwntray.exe（第二啟動器）、Transfer.exe（蠕蟲啟動器）、Permissions.exe（后門啟動器），它們主要是通過調(diào)用dll導出函數(shù)的方式執(zhí)行惡意代碼。

樣本USB Disk.exe在剛被制作出來時并不能完整運行，因為需要滿足多種條件才可執(zhí)行，所以需要通過transfer.exe啟動蠕蟲并感染第一個可移動磁盤，從而“幫助”它滿足條件才可以真正開始傳播。

傳播的方式是將USB Disk.exe放入到可移動磁盤中的根目錄下，同目錄下其他六個文件放入到可移動磁盤的隱藏目錄中。之后在其他主機上使用該可移動硬盤并運行USB Disk.exe時，總啟動器USB Disk.exe就會執(zhí)行同目錄下病毒文件夾中的wwntray.exe實現(xiàn)從可移動磁盤逆感染主機的操作，此時被感染的主機就會在后臺執(zhí)行蠕蟲模塊和后門模塊，使每一個插入該主機的可移動磁盤都會被感染，重復第一次transfer.exe完成的操作。

初始化

病毒在運行蠕蟲模塊和后門模塊前會進行一系列檢查、持久化設(shè)置、刪除部分文件等操作。

樣本會在感染U盤時，將程序改名為USB Disk.exe，以誘導用戶點擊并執(zhí)行。所以當USB Disk.exe程序在用戶的U盤中出現(xiàn)時，意味著該U盤可能已被該病毒感染。

USB Disk.exe

該程序首先通過GetModuleFileName檢查當前目錄是否為盤符的根目錄，如果不是，則結(jié)束運行。

隨后，通過CreateProcess啟動explorer.exe，參數(shù)為藏有U盤原文件的目錄，此操作的主要目的是打開并展示受害者U盤中的原始文件，從而試圖讓受害者誤以為自己僅僅是打開了USB Disk文件夾而不是病毒。

打開原始文件目錄

U 盤中原始文件目錄

接著通過傳入字符串參數(shù)"(C:)"來尋找磁盤根目錄窗口并發(fā)送關(guān)閉窗口指令，目的是為了讓受害者感受到打開的就是一個普通的文件夾。

關(guān)閉磁盤根目錄窗口

并通過OpenEvent參數(shù)ConfigurantionDebug4防止程序多開wwnotray.exe，隨后執(zhí)行wwnotray.exe，參數(shù)為-debug。

執(zhí)行 wwnotray.exe

wwnotray.exe

wwnotray.exe加載wweb32.dll并執(zhí)行該dll導出表中的ShowModalWordWebWEx函數(shù)，該函數(shù)包括持久化操作、執(zhí)行蠕蟲和后門模塊等功能。

執(zhí)行 ShowModalWordWebWEx 函數(shù)

程序首先通過CreateEvent檢測事件是否已經(jīng)存在來防止多開。

防止多開

詳見：https://mp.weixin.qq.com/s/P_WqwkTT7ppjyXagQjo6PA

走進利合

解決方案

成功案例

新聞資訊

0755-88602578

全國統(tǒng)一服務(wù)熱線

手機：13714172796 / 13246724985
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

© 2020 深圳市利合信諾科技有限公司粵ICP備2022125722號-1

友情鏈接

火絨安全
陽途
敏捷科技
昂楷科技
深信服科技
綠盟科技
安恒信息
啟明星辰
Lenovo聯(lián)想
億賽通
山石網(wǎng)科

<fieldset id="wmyue"></fieldset>

<strike id="wmyue"><menu id="wmyue"></menu></strike>