安基网 首页 资讯 安全报 查看内容

超12万台电脑遭到攻击!究竟谁在“祸乱”网络?

2019-9-6 13:29| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 又是一年开学季,对于广大父母来说,孩子开学可谓是“万兽归笼,普天同庆”,烦躁了一暑假的老父亲老母亲们总算得到了灵魂大解放,本想在家开开心心看个《甜蜜蜜》,结果一打开却发现1080P的高清电视连续剧,竟然在电脑屏幕上卡成了PPT,这源头还得从最近臭名昭著的“祸乱”僵尸网络说起。近期,360安 ...

又是一年开学季,对于广大父母来说,孩子开学可谓是“万兽归笼,普天同庆”,烦躁了一暑假的老父亲老母亲们总算得到了灵魂大解放,本想在家开开心心看个《甜蜜蜜》,结果一打开却发现1080P的高清电视连续剧,竟然在电脑屏幕上卡成了PPT,这源头还得从最近臭名昭著的“祸乱”僵尸网络说起。

近期,360安全大脑监测到“祸乱”僵尸网络利用十多款流氓软件,下发流量暗刷、挖矿、和静默软件推广三大病毒模块,攻击了多达12万台电脑,导致不少用户在使用电脑期间,出现运行卡慢甚至自动安装QQ音乐、简压压缩、旋风PDF等多达20种软件的情况,严重影响了用户的使用体验。


事实上,这并不是“祸乱”第一次在网络上发动大规模攻击。早在今年7月份, 360安全大脑就曾监测拦截过“祸乱”僵尸网络的异动,彼时其搭载流氓软件下发流量暗刷和挖矿两大病毒模块,双管齐下暴力敛财,导致25万台电脑运行受到影响;如今,“祸乱”卷土重来,新增“静默推广”盈利手段再度来袭,肆意损害用户电脑以牟取暴利,可谓来势汹汹。


此外,360安全大脑还监测到本次传播的“祸乱”病毒样本总共用到了7种不同的有效数字签名,如此大手笔的投入,可以想象这个僵尸网络能给其背后的黑产团伙带来多大的利益。不过广大用户无需担心,目前360安全卫士已全面拦截“祸乱”僵尸网络的连环攻击,建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。

为避免该攻击感染面积进一步扩大,360安全大脑经过深度溯源分析后,全面还原了“祸乱”僵尸网络攻击全貌。数据显示,本次“祸乱”僵尸网络依然会通过“迅捷看图”、“魔方快搜”、“无忧看图”等十多款流氓软件进行传播,在感染方式上与旧版并无太大变化,但在其下发的盈利模块中,除暗刷、挖矿外,却增加了一个用于恶意推广的病毒驱动RomFS.sys,文件属性如下所示:


该驱动在启动之后会将病毒动态库注入到系统进程中,动态库的字符串和导入表均经过了混淆处理,运行后先经过异或解密,还原字符串和导入表:


然后检测调试和虚拟机环境:


挂钩LdrLoadDll禁止下列安全模块的正常加载:


之后会收集系统信息发送到C&C服务器请求配置文件:


然后解密从服务器返回的加密数据:


最终解密出一个json格式的配置文件,并将其保存到HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographycpuID中,解密后的配置文件如下图所示:


配置文件中不同的CLSID代表不同的分支,对应CLSID的注册表则用来存储加密后不同的病毒模块,当动态库检测到对应的注册表键值存在时,便会读取其中的加密模块进行解密加载,相关的解密过程如下:


最终解密出的病毒模块会执行恶意推广的病毒逻辑,其完整流程如下所示:


如此缜密的静默推广方式,再配合“流量暗刷”、“挖矿”两大攻击模块,“祸乱”一旦入驻用户电脑,必将给其带来巨大危害。为防止该僵尸网络攻击感染范围进一步扩大,360安全大脑建议广大用户做好以下防御措施,保护电脑隐私及财产安全:

1、前往weishi.cn下载安装360安全卫士并保证开启,全面拦截各类病毒木马攻击;

2、对于杀毒软件报毒的程序切勿添加信任或退出杀软运行;

3、发现电脑出现异常时,及时使用360安全卫士进行体检扫描、查杀病毒;

4、使用360软件管家下载安装正规软件, 360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6732805314778759684/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部