太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    盘一盘2018年那些难缠的顽固病毒木马

    来源:本站整理 作者:佚名 时间:2019-02-28 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一.前言
    有一类病毒木马令中招者无比头疼,怎么头疼呢,就是普通网友一旦中招,一般的杀毒方法杀不干净。用杀毒软件杀不完,格式化重装行不行?但这类病毒一般网友格式化重装很快发现又来了。什么样的病毒如此顽固,今天让我们来盘一盘。
    顽固病毒主要指利用计算机启动后较早的时机获得执行机会,运行在系统底层的Bootkit病毒及Rootkit病毒。Bootkit病毒会感染磁盘MBR、VBR,在系统引导阶段就获得执行控制权,有启动早,隐藏性高等特点。Rootkit病毒在Ring0层执行,有着较高的权限,往往通过挂钩磁盘钩子,注册回调等技术手段实现自保护,有与杀软对抗激烈,变种多等特点。
    2018年较为活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等等家族,其中下半年最为活跃的Rootkit病毒家族为独狼家族,仅电脑管家进行披露的独狼家族相关的病毒感染事件就有3例,传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具,从主页锁定,刷量获利到传播盗号木马,到强力破坏杀毒软件功能,可谓是无恶不作。
    Bootkit最为活跃的病毒家族为暗云及隐魂系列,其中暗云不仅频繁更换C2网址,还首次发现和Mykings僵尸网络进行捆绑传播,此外国内厂商披露的暗云变种”隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露,其变种“隐蜂”最主要的变现方式也是挖矿。
    Bootkit/Rootkit病毒传播渠道可以分为四大类,主要包括盗版Ghost系统、激活工具、游戏外挂辅助及下载器、第三方流氓软件,及通过漏洞利用弱口令爆破等传播新方式。值得注意的是,腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%。
    本文主要从Bootkit/Rootkit病毒活跃家族、传播渠道、对抗技术、典型案例四个方面盘点2018年病毒的主要态势及变化。
    二. 2018年活跃B(R)ootkit病毒家族盘点
    Bootkit/Rootkit病毒依然是C端普通用户感染后查杀难度较大的主要病毒类型,2018年较为活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等家族。
    典型的Bootkit/Rootkit病毒感染事件包括:
    · SQL SEVER弱口令爆破入侵,暗云,Mykings等多个病毒家族捆绑入侵传播事件;
    · 酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号,独狼Rootkit木马事件;
    · “外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手;
    · 页游微端《血盟荣耀》强锁主页,劫持50余个知名电商和搜索网站流量 等等。
    腾讯御见威胁情报中心对Rootkit病毒的签名信息进行统计,发现Rootkit病毒的签名信息高度集中,部分签名会被泛滥使用,其中以“上海预联软件技术有限公司”及“双双 何”最为严重被木马病毒使用的最为广泛。

    图2被病毒滥用签名
    对2018年度主要的活跃Bootkit/Rootkit进行统计,其主要的变现获利方式有刷流量,锁主页,恶意推广,网络攻击,挖矿等。其中锁主页仍然是最主要的变现方式,占比高达35%,其次为刷流量及软件推广,占比30%,其中暗云,独狼等家族其主要变现方式就是锁主页及刷量。随着挖矿黑产的兴起,挖矿获利也逐渐增多(占比10%),如“隐蜂”木马,暗云新变种等Bootkit木马也转投挖矿获利。

    图3顽固木马的主要获利变现方式
    三. B(R)ootkit病毒传播渠道
    1. 盗版Ghost系统
    盗版Ghost系统长期以来一直都是病毒传播的重要载体,更为重要的是,预埋了病毒的盗版Ghost往往利用搜索引擎厂商的广告竞价排名,使得普通网民在搜索“Ghost”系统,“win 7”,“激活工具”等相关关键字时显示在搜索前几名的绝大部分都是带毒的系统,即使网民试图通过搜索引擎搜索“净化版”,展示的搜索结果仍会在靠前的位置展示内嵌病毒的下载链接。

    图4带毒Ghost系统
    腾讯御见威胁情报中心对各大站点的Ghost系统进行了检测发现有几个特点:
    a.  这些盗版Ghost系统的下载链接会被频繁的更换,其主要目的是为了躲避安全厂商对这些下载链接的报毒提示;
    b.  这些带毒的系统绝大部分会利用搜索引擎广告进行推广。由于国内软件使用习惯等原因,普通网民获得这些安装系统的主要途径就是网上搜索,这导致了有重装系统刚需的用户有极大概率会下载这些存在风险的系统而成为受害者;
    c.  提供这些Ghost系统的网站基本都在显要位置推带毒系统下载。
    腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%,这里的系统异常指由于系统预埋病毒导致的主页被锁定,暗刷流量,流氓推装其他软件等系统异常问题。

    图5异常系统占比

    图6部分问题下载链接及站点

    [1] [2] [3] [4]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。