近期,360安全大脑发掘到,有一类VBR木马最近异常活跃,通过各类下载器传播,大规模感染用户电脑。经安全专家分析“逆鬼”具有很强的隐蔽性和潜伏性,极强的传播能力,同时具有灵活的拓展性。
- VBR全称Volume Boot Record(卷引导记录),负责操作系统引导程序的加载,比Windows更早启动。一旦VBR被木马感染,恶意代码会获得隐蔽生存的空间,难以被传统杀毒软件检测到。
样本分析
安装包运行后,释放白利用文件到temp文件夹下面
目录结构如下:
其中白利用文件信息为:
加载白利用模块
然后会读取本目录下的log.db文件解密执行
解密后为一个DLL模块文件大小为348672:
入口点函数为:
开线程开始干活,
打点上传用户信息:
然后篡改系统VBR
VBR跳转执行
申请高端内存:
判断特征码挂钩处理:
目前360已经可以拦截和查杀逆鬼木马:
安全卫士查杀
閱讀更多 360安全衛士 的文章