“微信支付”勒索病毒传布始末
UNNAMED1989”微信支付”勒索病毒让很多用户过了一个不镇静的周末,文件没法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的困难。但病毒从何而来,之后又该怎么预防呢?文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
沾染原理文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
分析沾染原理以前,咱们先从此次勒索病毒的传布源说起,在以前的讲演中,咱们已经提到,受沾染机器可能是因为使用了“辅助外挂”,由这些外挂携带的木马下载器酿成的沾染。那为何会有这么多的外挂软件同时携带这款病毒呢?是这些外挂文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
该带毒模块最初是经过一位用户发布到“精易论坛”的,以模块源码分享的名义传布歹意模块:文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
而精易论坛的管理人员也发现了有人应用论坛传布木马,对相关事件进行了处理以及说明文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
经分析,该代码模块中确切夹杂了“黑货”。使用这个模块编译出来的程序,会向特定目录下释放歹意程序:文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
其次,歹意模块还会走访两个指定的URL网址:文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
而这两个URL网址,以及咱们以前分析的下载者木马所走访的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件以及一个名为“krnln_static_5.7.lib”的静态链接库文件。下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”和“krnln_static.lib”文件,并使用网上下载的这两个模块,替代本地对应的模块,污染这台计算机的开发环境:文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
也就是说,歹意代码的分散其实不仅仅局限于木马本身的传布,还会通过污染开发环境,应用其他开发者进行二次传布,即:文章源自微观生活(93wg.com)微观生活-https://93wg.com/24134.html
1. 原始袭击者A发布了暗藏有歹意功能的代码模块
2. 其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就一样带有了歹意功能。
3.
以上就是微观生活(93wg.com)关于“斩草除了根,360终结首个“微信支付”勒索木马”的详细内容,希望对大家有所帮助!
评论