管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 4316|回复: 4

[病毒木马] “狼人杀”后门病毒潜伏数十万台电脑

[复制链接]
Sukey        

117

主题

2

好友

4068

积分

总版主

Rank: 8Rank: 8

帖子
4836
彩盾
15084

突出贡献 论坛元老 至尊荣耀 我是你的眼公益达人 活跃管饭 美女勋章 安全达人 光棍勋章 快乐管家

发表于 2016-12-25 13:39 |显示全部楼层


  日前,腾讯电脑管家威胁态势感知系统发现,近期有大量用户机器上潜伏着一款非常隐蔽的后门病毒,不仅绕过国内绝大部分安全软件的检测,而且多数安全软件都无法对其进行查杀修复。该病毒系腾讯电脑管家首先发现,因其在“晚上”(合适时机)会开始运行并在下一个“白天”继续潜伏,被腾讯安全技术人员命名为“狼人杀”。目前,腾讯电脑管家已率先实现对该类后门病毒的查杀,用户可使用查杀功能和急救箱对电脑进行修复。

1.jpg

(通过逆向分析发现“狼人杀”作者内部代号为peerkiller)


  经腾讯电脑管家安全技术人员分析发现,“狼人杀”病毒能作为后门潜伏于用户电脑上,并伪装成系统文件隐藏自身,致使用户难以感知,进而通过云下载各种作恶插件。不仅如此,一旦用户电脑中招,该病毒的作者只需在云端按需按时下发指令,就能完全掌控用户机器,最终窃取用户的隐私文件、游戏和银行账号密码等个人数据。目前,该病毒已影响数十万台电脑。

2.jpg


(腾讯电脑管家查杀修复图)


3.jpg


(腾讯电脑管家急救箱修复图)



  挑选最有价值“肉鸡” 逃避安全软件检测

  腾讯电脑管家安全技术人员指出,“狼人杀”病毒运行后,会率先检测用户电脑当前运行环境,包括是否安装安全软件,以及是否为网吧机器、虚拟机和安全分析人员机器等。


4.jpg

(检测杀软环境)




5.jpg

(检测是否为安全分析人员机器或网吧机器)




6.jpg

(检测是否为安全分析人员机器)



7.jpg

(检测是否为虚拟机环境)



  随后,病毒的作者会将检测结果上传到C&C服务器,试图避开价值不大且易曝光的机器,从而将被发现的几率降至最低,并针对有价值的“肉鸡”派发作恶插件。而为了进一步躲避安全软件检测,“狼人杀”病毒会劫持本地Fsd(文件系统驱动程序),通过欺骗文件系统来隐藏、保护自身。此外,该病毒的驱动启动时间设置得非常早,启动后还会将其启动路径修改为随机路径,然后随机找一个系统驱动文件拷贝到该路径(drivers\随机路径.sys),并且还会通过注册cmpcallback回调保护services下注册表项,达到干扰安全软件检测的目的。

8.jpg

(病毒启动后修改自身的启动路径为随机路径)


9.jpg

(干扰安全软件检测)



  与C&C通信 加载C&C派发的功能插件

  腾讯电脑管家安全技术人员进一步指出,“狼人杀”病毒运行后会进行网络测试,只要任何一个域名端口测通后测试就会停止,并通过该端口会连接到服务器。值得注意的是,该病毒内置多个C&C及备用地址,一旦成功连接到服务器会将机器信息,包括之前获取到的运行环境等上传,随后接收指令,通过网络下载C&C派发的主要功能插件。

  事实上,“狼人杀”病毒主要功能都是通过C&C派发的各种插件来实现,并且能随时下载各种功能插件到本地执行,完成各种复杂功能。更为严重的是,插件下载地址、是否热启动热升级、文件类型、运行平台、宿主进程、运行权限等全部恶意行为都能进行配置。一旦完成这些行为,用户电脑将被全面攻陷,沦为“肉鸡”。

10.jpg

(反向链接云服务提供商)



  在云安全时代,病毒活动日趋隐蔽,如何挖掘出潜伏在用户机器上的病毒,是一个棘手的问题。目前,腾讯电脑管家持续不断升级安全技术,对于潜伏病毒可进行及时、精准的查杀清理。近日,腾讯电脑管家发布了12.1版本,该版本基于新一代威胁态势感知系统,依托全网安全大数据和后台智能分析挖掘,能在第一时间感知到用户电脑的安全威胁,并通过云主防和Bootclean清除技术、Rootkit通杀、系统急救箱三大利剑进行实时拦截和查杀,为用户电脑安全保驾护航。此外,针对“狼人杀”病毒,腾讯电脑管家还推出了专门修复的支线版本(http://dwz.cn/4Q7ewM),广大网友可通过链接进行下载。

欢迎前往腾讯电脑管家官网:https://guanjia.qq.com/main.html  了解管家最新动态
zh2294        

0

主题

0

好友

2

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
3
彩盾
7
发表于 2017-1-1 15:51 |显示全部楼层
回复

使用道具 举报

1

主题

0

好友

3

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
3
彩盾
19
发表于 2017-1-4 13:24 |显示全部楼层
回复

使用道具 举报

whwacn        

6

主题

0

好友

640

积分

禁止发言

帖子
846
彩盾
2111

光棍勋章 活跃管饭

发表于 2017-1-12 09:17 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

whwacn        

6

主题

0

好友

640

积分

禁止发言

帖子
846
彩盾
2111

光棍勋章 活跃管饭

发表于 2017-1-12 09:18 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2017-9-25 15:56 , Processed in 0.674024 second(s), 14 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部