你还在用“加了料”的系统还原东西么? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

你还在用“加了料”的系统还原东西么?

申博_安全防护 申博 93次浏览 已收录 0个评论

应用激活软件、体系盘等东西流传病毒和地痞软件已是习以为常的一大乱象,因为此类东西一般都是装机后起首装置的软件,占据在上面的病毒和地痞软件便应用参与机遇更早的上风种种作歹,绑缚装置、挟制首页以至与平安软件举行匹敌,令普通用户苦不堪言。

就在日前,火绒接到用户反应,称运用U深度U盘启动盘制造东西复原体系以后,装置的火绒平安软件被删除。火绒工程师剖析发明,该复原东西可挪用病毒顺序,依据差别体系环境复原体系时,对指定软件举行删除,并改动IE浏览器首页。

另外,火绒工程师溯源剖析,该复原东西初期版本中的病毒顺序不仅能够直接实行删除第三方软件(包含火绒)和一些带有首页挟制功用的地痞软件等歹意行动,还会改动浏览器首页设置、浏览器收藏夹以及推行别的软件。火绒工程师由此推断,该激活东西是为推行同名软件做准备,从而争取软件装置计费名举行取利。

你还在用“加了料”的系统还原东西么?

图:被病毒顺序删除的第三方软件

而在新版U深度U盘启动盘中,已没有推行绑缚等行动,但仍然存在删除第三方软件等遗留歹意行动。虽然此举对用户没法形成实质性伤害,但我们照旧发起人人郑重运用此类复原东西,并运用正版复原软件。用户假如运用过该激活东西,可运用火绒实时扫描查杀病毒顺序。

一、病毒剖析

火绒接到用户反应,在运用U深度复原GHOST镜像时,备份镜像中的火绒平安软件会被删除。经由剖析发明,该GHOST复原顺序在复原体系后,会挪用NUML0CK.exe举行删除文件的操纵。NUML0CK.exe功用重要分为两个部份:PE形式下会删除平安软件、罕见的第三方软件和一些带有首页挟制功用的地痞软件;非PE形式下,会改动浏览器首页、修正浏览器收藏夹等操纵。依据上述歹意行动,我们将其定义为病毒举行查杀。

NUML0CK.exe是由AutoIt剧本编译天生的可实行顺序,且剧本举行了殽杂,一切的剖析均基于反殽杂后的剧本文件。剧本中用到的一切字符串和数值常量均初始化存储在一个大数组中,然后运用数组元素对变量举行初始化并运用。如下图所示:

你还在用“加了料”的系统还原东西么?

经由殽杂的原始剧本文件

由顺序的逻辑能够获得一切变量对应的字符串和常量,接下来对NUML0CK.exe现实的功用部份举行剖析。NUML0CK.exe起首会读取注册表信息,推断是不是运转在PE环境下。相干代码,如下图所示:

你还在用“加了料”的系统还原东西么?

检测是不是为PE环境

在PE环境下,NUML0CK.exe会依据复原镜像的差别,对特定镜像中含有的主页锁定顺序和推行顺序举行处置惩罚,从而越发轻易本身举行主页锁定和软件推行。NUML0CK.exe推断当前复原镜像须要举行何种操纵时,起首会读取复原镜像中的WindowsSystem32config目次下的SYSTEM,SOFTWARE, DEFAULT注册表文件的时候和大小信息,以后连接成字符串,并盘算MD5,用于标识特定的镜像文件。相干代码,如下图所示:

你还在用“加了料”的系统还原东西么?

盘算镜像文件标识

关于每种特定的差别的镜像文件举行差别的操纵,基本上为对镜像文件中的特定首页挟制和推行顺序举行删除或用空顺序举行替代操纵,以及建立末端为.exe的文件夹,阻挠复原后的镜像发生同名的推行装置包顺序。如下图所示:

你还在用“加了料”的系统还原东西么?

依据差别镜像举行差别操纵

你还在用“加了料”的系统还原东西么?

删除镜像中的文件或用空顺序替代

检测随机名驱动,假如存在,则设置标志,并纪录驱动名和要删除的顺序名。删除随机名驱动和罕见杀软驱动的注册表项。当用于标识镜像的MD5串值为6995C85148CC8EED5EDF0904225DDC3F、A8330A79482095C239EF17C3C299883D等,且检测到存在文件MD5为    26F63B278F6061187B37BB8C867B823B、B16CAB3077C11387BB32A4C5E14C47D0等的随机名驱动文件时,触发删除火绒的流程。但因为代码中能够存在bug,当读取分区WindowsSystem32config目次下的SYSTEM注册表文件失利时,也会触发删除流程。如下图所示:

你还在用“加了料”的系统还原东西么?

检测随机名驱动

你还在用“加了料”的系统还原东西么?

删除随机名驱动和罕见杀软驱动的注册表项

假如检测到特定随机名驱动,顺序还会设置SetupType注册表键值,并继承设置SOFTWARE和USER注册表,最终将删除流程的标记位置1,实行平安软件、罕见软件及地痞软件的文件删除流程。如下图所示:

你还在用“加了料”的系统还原东西么?

触发删除流程

删除流程起首会删除分区目次下的挟制首页的地痞顺序。如下图所示:

Mirai变种将C2隐藏在Tor收集中

Mirai是最著名的IoT恶意软件之一,近期研究表明犯罪分子仍在不断开发和使用该恶意软件。 在发现Mirai变种Miori之后一个月,研究人员又发现一个新的Mirai样本。与之前的Mirai变种类似,它允许攻击者通过暴露的端口和IoT设备中的默认凭证来远程访问和控制,攻击者可以用受感染的设备通过UDP洪泛等方式发起DDOS攻击。与之前的变种相比,研究人员发现该样本将C2服务器隐藏在Tor网络中实现匿名化。将恶意C2服务器隐藏在无法报告和下线的暗网中逐渐成为IOT恶意软件的一种趋势,网络安全研究人员、企业和用户需要警惕这一趋势并着手应对。 Socks5协议和配置 一般的Mirai变种又1~4个C2服务器,本变种样本中又30个硬编码的IP地址。研究人员在沙箱环境中分析了恶意软件样本与服务器之间的通信。通过执行样本,样本会

你还在用“加了料”的系统还原东西么?

删除挟制首页的地痞顺序

遍历分区两级目次和特别目次,删除经常使用的杀软,视频影音等软件的装置包顺序。删除软件目次的相干操纵疑似用来争取软件装置计费名,不消除其推行装置同名软件举行取利的能够性。如下图所示:

你还在用“加了料”的系统还原东西么?

遍历的目次

受病毒影响的软件装置包列表,如下图所示:

你还在用“加了料”的系统还原东西么?

删除的软件装置包

病毒还会删除桌面上特定的后缀为.exe, .lnk和.url文件。如下图所示:

你还在用“加了料”的系统还原东西么?

删除桌面特定文件

删除Program Files目次和Program Files (x86)目次下的经常使用杀软,视频影音等软件的顺序文件夹。删除QQ浏览器的晋级顺序和2345软件文件夹。如下图所示:

你还在用“加了料”的系统还原东西么?

删除经常使用软件的装置目次

受影响的软件目次列表,如下图所示:

你还在用“加了料”的系统还原东西么?

删除的顺序文件夹

改动IE浏览器首页,如下图所示:

你还在用“加了料”的系统还原东西么?

改动首页

该病毒在非PE环境下还会举行挟制首页、增加收藏夹,并将主机的信息加密后上传至服务器。相干行动,如下图所示:

你还在用“加了料”的系统还原东西么?

首页改动和增加收藏夹

你还在用“加了料”的系统还原东西么?

拼接信息,加密并发送

我们发明运用15年版本的U深度装置体系时,NUML0CK.exe会被增加进开机启动项中,实行非PE环境下的代码,用于改动首页,增加收藏夹,推行软件等。推行的软件有360平安浏览器,爱奇艺。但在运用最新版的U深度装置体系时,NUML0CK.exe并不会被增加到开机启动项中,不会运转非pe环境下的代码逻辑。究竟是推行战略的变化照样其他的缘由不得而知。但是在运用最新的U深度备份体系时,备份顺序会起首挟制首页,再举行备份,以致复原出来的体系均会被挟制首页。如下图所示:

你还在用“加了料”的系统还原东西么?

U深度15年版本装机

NUML0CK.exe检测特定的镜像文件,对锁首地痞顺序和推行装置包举行检测和处置惩罚,而且NUML0CK.exe在之前的版本中被用于推行软件,推想应为与偕行争抢装置包推行渠道和首页流量。关于须要举行体系备份的用户,发起运用正版软件,以避免收到相似的病毒要挟。

二、附录

你还在用“加了料”的系统还原东西么?

 

原文地点: https://www.4hou.com/system/19615.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明你还在用“加了料”的系统还原东西么?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址