安全大脑赋能360安全卫士拦截“逆鬼”
- 2018-12-14 23:20:04
近期,360安全大脑发掘到,有一类VBR木马最近异常活跃,通过各类下载器传播,大规模感染用户电脑。经安全专家分析“逆鬼”具有很强的隐蔽性和潜伏性,极强的传播能力,同时具有灵活的拓展性。
VBR全称Volume Boot Record(卷引导记录),负责操作系统引导程序的加载,比Windows更早启动。一旦VBR被木马感染,恶意代码会获得隐蔽生存的空间,难以被传统杀毒软件检测到。
样本分析
安装包运行后,释放白利用文件到temp文件夹下面
目录结构如下:
其中白利用文件信息为:
加载白利用模块
然后会读取本目录下的log.db文件解密执行
解密后为一个DLL模块文件大小为348672:
入口点函数为:
开线程开始干活,
打点上传用户信息:
然后篡改系统VBR
VBR跳转执行
申请高端内存:
判断特征码挂钩处理:
针对此“逆鬼”木马的感染攻击态势,360安全专家给出如下建议:
1)建议广大用户使用360软件管家下载安装软件。360软件管家收录万款正版软件,均经过360安全大脑白名单检测,是360安全卫士提供的一款集下载、安装、升级、卸载、购买软件于一体的安全管理工具。
2)360安全卫士已支持针对该“逆鬼”木马的拦截查杀,用户可复制http://down.360safe.com/inst.exe下载安装360安全卫士保障电脑安全。
目前360已经可以拦截和查杀逆鬼木马:
安全卫士查杀