又是一年开学季,对于广大父母来说,孩子开学可谓是“万兽归笼,普天同庆”,烦躁了一暑假的老父亲老母亲们总算得到了灵魂大解放,本想在家开开心心看个《甜蜜蜜》,结果一打开却发现1080P的高清电视连续剧,竟然在电脑屏幕上卡成了PPT,这源头还得从最近臭名昭著的“祸乱”僵尸 *** 说起。
近期,360安全大脑监测到“祸乱”僵尸 *** 利用十多款流氓软件,下发流量暗刷、挖矿、和静默软件推广三个病毒模块,攻击了多达12万台电脑,导致不少用户在使用电脑期间,出现运行卡慢甚至自动安装 *** 音乐、简压压缩、旋风PDF等多达20种软件的情况,严重影响了用户的使用体验。
“祸乱”僵尸 *** 卷土重来
新增静默推广病毒模块肆意敛财
事实上,这并不是“祸乱”之一次在 *** 上发动大规模攻击。早在今年7月份, 360安全大脑就曾监测拦截过“祸乱”僵尸 *** 的异动,彼时其搭载流氓软件下发流量暗刷和挖矿两大病毒模块,双管齐下暴力敛财,导致25万台电脑运行受到影响;如今,“祸乱”卷土重来,携“暗刷”、“挖矿”、“静默推广”三大攻击手段再度来袭,肆意损害用户电脑以牟取暴利,可谓来势汹汹。
本次“祸乱”僵尸 *** 静默推广的软件列表
此外,360安全大脑还监测到本次传播的“祸乱”病毒样本总共用到了7种不同的有效数字签名,如此大手笔的投入,可以想象这个僵尸 *** 能给其背后的黑产团伙带来多大的利益。不过广大用户无需担心,目前360安全卫士已全面拦截“祸乱”僵尸 *** 的连环攻击,建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。
本次“祸乱”僵尸 *** 使用到的七种数字签名
360安全大脑深度溯源
还原“祸乱”攻击始末
为避免该攻击感染面积进一步扩大,360安全大脑经过深度溯源分析后,全面还原了“祸乱”僵尸 *** 攻击全貌。数据显示,本次“祸乱”僵尸 *** 依然会通过“迅捷看图”、“魔方免费接单平台”、“无忧看图”等十多款流氓软件进行传播,在感染方式上与旧版并无太大变化,但在其下发的盈利模块中,除暗刷、挖矿外,却增加了一个用于恶意推广的病毒驱动RomFS.sys,,文件属性如下所示:
该驱动在启动之后会将病毒动态库注入到系统进程中,动态库的字符串和导入表均经过了混淆处理,运行后先经过异或解密,还原字符串和导入表:
然后检测调试和虚拟机环境:
挂钩LdrLoadDll禁止下列安全模块的正常加载:
之后会收集系统信息发送到C&C服务器请求配置文件:
然后解密从服务器返回的加密数据:
最终解密出一个json格式的配置文件,并将其保存到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\cpuID中,解密后的配置文件如下图所示:
配置文件中不同的CLSID代表不同的分支,对应CLSID的注册表则用来存储加密后不同的病毒模块,当动态库检测到对应的注册表键值存在时,便会读取其中的加密模块进行解密加载,相关的解密过程如下:
最终解密出的病毒模块会执行恶意推广的病毒逻辑,其完整流程如下所示:
如此缜密的静默推广方式,再配合“流量暗刷”、“挖矿”两大攻击模块,“祸乱”一旦入驻用户电脑,必将给其带来巨大危害。为防止该僵尸 *** 攻击感染范围进一步扩大,360安全大脑建议广大用户做好以下防御措施,保护电脑隐私及财产安全:
本文目录一览: 1、求一本有关重生的黑客小说 2、重生的,黑客,小说 3、重生之黑客txt全集下载 4、重生之超级黑客txt全集下载 5、重生黑客的小说 求一本有关重生的黑客小说 2...
一、一个合作怎么找黑客 1、mc 荒野行动挂黑客网它分为主页游戏区域个人中心帮助中心。一个合作wfif必须承认,CIH的病毒技术是无与伦比的。mc 荒野行动挂解封微信号安全吗根据开放原始代码计划的创始...
可是每天大量的时间就这样从我们手中溜走,并且在不经意间或许我们的很多隐私信息等就被泄露了。再次确认微信中这个设置要关掉,不然微信可能被别人登录,望周知。 腾讯的社交霸主地位 马化腾打造的腾讯帝国...
怎样监管媳妇的手机位置(查媳妇手机位置)劝诫你最好无须那麼做,被发现了等候跪榴莲吧,没啥难点的话你可以做正大光明的看着你老婆手机上呀,为什么要监管?怎样监管媳妇手机微信 那务必在你老婆手机里面安...
伊利金领冠奶粉是国产的奶粉大品牌,很多家长也开始慢慢相信接受国产奶粉了,那么金领冠奶粉营养怎么样,下面友谊长存的小编就来说说:金领冠珍护3段奶粉怎么样 伊利金领冠珍护3段奶粉测评。 伊利金领冠珍护3...
马化腾他是就是那个腾讯公司的主要创办人,在2017年8月7日,腾讯股价盘中再创历史新高价320.6港元,马化腾身家361亿美元成为中国首富。 2018年4月还获得了《时代周刊》2018年全球最具影响力...