近期360互聯(lián)網(wǎng)安全中心接到大量用戶舉報(bào),反饋系統(tǒng)反復(fù)全盤程序被感染。經(jīng)排查發(fā)現(xiàn)用戶中招前都是從一些下載站上下載了一些被惡意代碼感染的外掛或工具軟件,并且在360報(bào)毒后選擇了退出360,導(dǎo)致全盤感染。
以其中一個QQ刷鉆外掛為例,一個看似正常的下載頁面:
但下載下來的外掛程序其實(shí)已經(jīng)遭到了感染,和正常文件相比多了一個名為”.rmnet”區(qū)段:
通過分析手段可以從代碼中清晰的看出,程序的入口代碼已被惡意篡改,被增加了如下的一段惡意代碼,用以執(zhí)行惡意功能:
惡意代碼執(zhí)行后,會在程序相同目錄下創(chuàng)建一個名為“本程序名+srv“的可執(zhí)行文件,并寫入惡意代碼:
寫入的代碼如下所示。可以看出,該段具有明顯的PE文件特征:
被生成的程序如下所示:
新生成的Srv程序被運(yùn)行后會在C:Program FilesMicrosoft文件夾下創(chuàng)建名為DesktopLayer.exe的文件。該文件為主要功能的執(zhí)行文件。
在DesktopLayer.exe運(yùn)行中hook了ZwWriteVirtualMemory函數(shù),由于CreateProcess函數(shù)中會調(diào)用ZwWriteVirtualMemory,因此程序?qū)崿F(xiàn)了在創(chuàng)建IE進(jìn)程的同時對IE進(jìn)行注入。
最終,被注入的IE遍歷全盤文件,感染全部可執(zhí)行程序。感染的內(nèi)容和之前被感染的外掛中被感染的內(nèi)容相同。
對此,360安全衛(wèi)士進(jìn)行了攔截