惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库

惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库,第1张

最近看到一些有趣的樣本.跟大家聊聊其中一個名為“XX下載防踢補丁”惡意程序.它使用了一些特殊卻極為有效策略.使自己可以長期逃脫殺軟的檢查.其中暴露出來的問題或許更值得我們每一個安全界人士的思考.

感染流程及其行為如下:

  1. 首先其以XX下載功能插件的名義使用戶開心去下載並替換XX下載原dll.
  2. 用戶放置后發現果然有效果.(真干活,達到用戶期望)
  3. 加了數字簽名.

效果是:

  1. 用戶是有意識要這樣做的.並且完成了用戶要完成的功能.
  2. 依賴於下載工具.不通過啟動項啟動.降低了殺軟被查閱的可能性
  3. 而且殺軟不報毒.

顯然這不是一張普通的圖片:

惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库,木馬網址,第2张

看看這張具有簽名的照片:

惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库,看看這張照片,第3张

經查證里面有刷廣告行為還有一個初見成型的遠控框架.

詳見這里:迅雷防踢補丁:一個刷流量木馬的簡單分析.

尷尬-什么是可信的?

該不該信任有數字簽名的程序?

可以說:擁有數字簽名的程序是可信的.但是這種信任來何方呢.如果只依憑簽名證書,這其實是責任轉移.

正規程序的擦邊行為該不該攔?

一些XX影音XX下載軟件彈個廣告默認下載個游戲什么的.殺軟你敢攔?
公關馬上哭着喊着罵你祖宗八輩”惡意打擊”,”干涉市場”.
軟件漏洞怎么了?最新漏洞又怎么了?你安全廠商能把我怎么着?你幫我補嗎?
明智的殺軟一般都懶得理那一堆大爺.市場份額大的殺軟搞搞軟件提交二次驗證也就算了.

回到咱們的樣本,總結起來其利用了殺軟的兩大”漏洞”:

  1. 殺軟對一些行為不感冒:扎在常(la)用(ji)程序堆里,由常(la)用(ji)軟件啟動的.
  2. 殺軟對有數字簽名的程序通常會非常寬容.甚至歸為白名單,”偶可是有通關文牒的駿馬喲”.

要不是用戶反饋電腦太卡偶然被反病毒工程師發現,不知什么時候才能發現這只躲在軟件堆里的馬.想想不知道還有多少只驢還在翔堆里下崽,就不得不給這個抽臉的樣本點個“贊”!

2015年8月15日 晚

致謝

樣本來源:

騰訊電腦管家團隊

如果您希望看到更多相關文章,請點:
惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库,統計,第4张
惡意程序新趨勢-鑽糞坑+數簽 -开发者知识库,頂,第5张

最佳答案:

本文经用户投稿或网站收集转载,如有侵权请联系本站。

发表评论

0条回复