近期,360安全大腦發掘到,有一類VBR木馬最近異常活躍,通過各類下載器傳播,大規模感染用戶電腦。經安全專家分析“逆鬼”具有很強的隱蔽性和潛伏性,極強的傳播能力,同時具有靈活的拓展性。
- VBR全稱Volume Boot Record(卷引導記錄),負責操作系統引導程序的加載,比Windows更早啟動。一旦VBR被木馬感染,惡意代碼會獲得隱蔽生存的空間,難以被傳統殺毒軟件檢測到。
樣本分析
安裝包運行後,釋放白利用文件到temp文件夾下面
目錄結構如下:
其中白利用文件信息為:
加載白利用模塊
然後會讀取本目錄下的log.db文件解密執行
解密後為一個DLL模塊文件大小為348672:
入口點函數為:
開線程開始幹活,
打點上傳用戶信息:
然後篡改系統VBR
VBR跳轉執行
申請高端內存:
判斷特徵碼掛鉤處理:
目前360已經可以攔截和查殺逆鬼木馬:
安全衛士查殺
閱讀更多 360安全衛士 的文章