小心BAT病毒卷土重来悄无声息攻城略地

作者: 云计算机网 分类: 云安全 发布时间: 2019-05-20 10:58

【赛迪网-IT技术讯】创建文件、恶意篡改IE主页这些司空见惯的病毒行为,人们早已熟悉。

各家杀毒软件的扫描引擎也早就对这些敏感字符串加以监控,只要程序中包含这些内容就将被视为可疑文件,从而大大降低病毒的存活几率。

但“顽强”的病毒作者们总会想尽一切办法来进行对抗。

最近,AVG中国病毒实验室就侦测到一种新型的bat病毒,正在悄然蔓延。

与以往常见bat病毒的不同在于:此次的病毒是将内容以十六进制形式分散写入多个文件,然后将这些文件进行拼接组合,生成最终的恶意程序。

拼接的方法是采用copy A /b + B /b + ...(/b以二进制形式)。

将众多“正常”文件巧妙组合成病毒文件,拼接过程中没有出现明文的字符串,降低了被检测到的几率。

下面来看下病毒的具体行为:

1.首先在D盘下创建msn\gaming文件夹,设置属性为系统+隐藏。

2.在桌面创建“淘”字样图标,修改IE主页,添加导航网页和钓鱼网页,自启动。

3.拼接生成2个exe文件link.exe和Ker.exe,用于启动tmptwo.bat, “start /min”是最小化运行,从而降低了被发现的几率。

Tmptwo.bat用于启动fuck.bat。

fuck.bat用于实现2的功能。

(该文件也是拼接生成)

4.清理这些用于拼接的临时文件。

在后续的变种中,为了逃避杀软的查杀,病毒作者在原有基础上做了修改。

一种是修改bat文件的头部,加入了用于混淆的垃圾代码。

另一种是给批处理文件加密,方法是在文件头部加上FFEF,让记事本一类的文本编辑器以UNICODE方式打开批处理文件,就会显示乱码,但Windows本身并不认为这个文件是UNICODE格式文件,依然依次执行文件中的每条命令,批处理文件仍然能够正常运行。

切换到十六进制模式显示如下代码:

  • 【赛迪网-IT技术讯】日前,金山网络安全中心监测到两款伪装成“手机看片软件”的Android手机病毒正在传播。

    病毒伪装为成人视频播放器,中毒手机会被偷偷扣费,且中毒手机收不到10086短信,金山手机卫士已抢先查杀。

    图1 伪装成“成人网站播放器”的手机病毒

    今天截获的伪装成“手机看片软件”的病毒,就是在界面上展现一些成人内容以吸引用户点击,安装后偷偷向某个SP特服号发送扣费短信,再神不知鬼不觉地将10086回传的短信拦截删除,从而使扣费过程不被用户发现。

    图2 病毒会连续向某个SP特服号发送指定内容的短信,以达到扣费目的

    国内MOTO、三星、联想乐Phone、HTC、华为等众多一线厂商采用Android手机操作系统,在Android平台安装软件和在Windows操作系统上安装软件差不多一样简单,这使得暗藏扣费为目的的手机病毒很容易被安装在Android手机上。

    手机安全专家指出,目前网上发现的收不到10086短信的现象基本与手机病毒感染有关。

    目前的监测数据看,这两个伪装成播放器的手机病毒感染量还不大。

    建议Android手机用户下载安装Android应用软件时,注意其他用户对这款软件的评价,如果发现曾有扣费投诉,建议不要下载。

    金山网络安全中心截获的这两个伪装成手机看片软件的病毒正在通过国内若干个重要的手机论坛传播,金山网络已通知相关论坛删除该应用。

    (责任编辑:admin)

  • 相关推荐:

  • Android手机病毒偷偷扣费
  • 病毒传播渠道再变革:
  • 破坏系统恶意关机 境外
  • 解析U盘病毒原理 学会
  • 新病毒冒充播放器逃脱杀
  • 病毒里的F117 隐秘躲避
  • 欧美超级病毒“魔影”入
  • 木马病毒呈开源方向发展
  • 安全杂谈:看看MAC系统病
  • 伪装屏保程序“桌面雪花
  • 网站内容禁止违规转载,转载授权联系中国云计算网