AVG提示:BAT病毒卷土重来

安全
最近,AVG中国病毒实验室就侦测到一种新型的bat病毒,正在悄然蔓延。与以往常见bat病毒的不同在于:此次的病毒是将内容以十六进制形式分散写入多个文件,然后将这些文件进行拼接组合,生成最终的恶意程序。

51CTO.com综合报道】创建文件、恶意篡改IE主页这些司空见惯的病毒行为,人们早已熟悉。各家杀毒软件的扫描引擎也早就对这些敏感字符串加以监控,只要程序中包含这些内容就将被视为可疑文件,从而大大降低病毒的存活几率。但"顽强"的病毒作者们总会想尽一切办法来进行对抗。

最近,AVG中国病毒实验室就侦测到一种新型的bat病毒,正在悄然蔓延。

与以往常见bat病毒的不同在于:此次的病毒是将内容以十六进制形式分散写入多个文件,然后将这些文件进行拼接组合,生成最终的恶意程序。

拼接的方法是采用copy A /b + B /b + ...(/b以二进制形式)。

 

 

 

将众多"正常"文件巧妙组合成病毒文件,拼接过程中没有出现明文的字符串,降低了被检测到的几率。

下面来看下病毒的具体行为:

1.首先在D盘下创建msn\gaming文件夹,设置属性为系统+隐藏。

 

2.在桌面创建"淘"字样图标,修改IE主页,添加导航网页和钓鱼网页,自启动。

 

 

3.拼接生成2个exe文件link.exe和Ker.exe,用于启动tmptwo.bat, "start /min"是最小化运行,从而降低了被发现的几率。

Tmptwo.bat用于启动fuck.bat。

fuck.bat用于实现2的功能。(该文件也是拼接生成)

4.清理这些用于拼接的临时文件。

在后续的变种中,为了逃避杀软的查杀,病毒作者在原有基础上做了修改。

一种是修改bat文件的头部,加入了用于混淆的垃圾代码。

另一种是给批处理文件加密,方法是在文件头部加上FFEF,让记事本一类的文本编辑器以UNICODE方式打开批处理文件,就会显示乱码,但Windows本身并不认为这个文件是UNICODE格式文件,依然依次执行文件中的每条命令,批处理文件仍然能够正常运行。

切换到十六进制模式显示如下代码:

如果强行在要被加密的批处理文件头增加UNICODE文件头FFFE,肯定会造成被加密批处理文件的第一条命令执行错误,而作者,在FFFE后面加了一个0D0A,这是个回车换行命令,这样就不会影响被加密文件第一条命令的执行。

AVG已经将其检测为Bat/Agent,能有效阻止该恶意软件。在这里,AVG不得不提醒广大用户,及时更新病毒库、定时查杀,养成良好的上网习惯才是王道;另外,网上冲浪特别是在网购的时候,看好官方网站再登入,千万不要被山寨网购网站所迷惑。

 

 

责任编辑:守望幸福 来源: 51CTO.com
相关推荐

2024-08-12 09:32:12

2012-04-16 15:08:08

2017-06-28 15:54:53

和力记易

2021-02-08 23:25:40

DanaBot恶意软件木马

2017-02-15 08:20:13

2021-04-08 09:07:11

VR互联网发展虚拟现实

2017-11-14 09:28:05

2023-12-27 11:41:21

2009-07-21 16:59:19

数据中心IBM刀片服务器

2012-05-11 09:39:23

云存储Google

2022-08-18 15:59:59

勒索软件黑客

2017-06-07 15:32:15

PCProsumer笔记本

2015-09-21 09:23:50

2011-08-18 09:26:06

Server Fabr虚拟化服务器

2021-07-07 09:22:22

SolarWinds黑客漏洞

2021-12-14 09:17:51

恶意软件Emotet密码

2019-01-21 16:37:08

2021-11-16 11:57:52

木马QBot攻击

2013-09-24 10:15:06

2019-05-10 08:19:48

Mirai僵尸网络
点赞
收藏

51CTO技术栈公众号