欢乐颂第二季,欢乐颂小说txt,已完结小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

會(huì)使用隱身大法的惡意軟件——變身僵尸

安全掃描工具始終都是惡意軟件的死敵，絕大多數(shù)流行的惡意軟件和病毒都可以被掃描出來，然后將其從系統(tǒng)中剔除。但趨勢(shì)科技的研究人員最近發(fā)現(xiàn)了一種不使用文件執(zhí)行的惡意軟件，從而導(dǎo)致掃描工具很難檢測(cè)到它的存在。

成都創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括寧津網(wǎng)站建設(shè)、寧津網(wǎng)站制作、寧津網(wǎng)頁制作以及寧津網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，寧津網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到寧津省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

這種無文件式的惡意軟件只存在于內(nèi)存中，并被直接寫入目標(biāo)計(jì)算機(jī)硬盤的RAM(隨機(jī)存儲(chǔ)器)中。如去年8月份發(fā)現(xiàn)的POWELIKS就是這樣一種惡意軟件，它能夠把惡意代碼隱藏在Windows注冊(cè)表中。

POWELIKS的高超感染手法被其他惡意軟件作者紛紛效仿，趨勢(shì)科技于近日在博客上介紹了一種典型的無文件式惡意軟件“變身僵尸”(Phasebot)。

脫胎于太陽僵尸

“變身僵尸”不僅具備惡意軟件包(rootkit)的特性，更重要的是它還擁有無文件執(zhí)行的能力，它與一個(gè)2013年的惡意軟件“太陽僵尸”(Solarbot)擁有相同的功能。此外，“變身僵尸”還具備虛擬機(jī)檢測(cè)和外部模塊裝載功能。后者可以在受感染機(jī)器上添加移除功能。

與“太陽”相比，“變身”十分強(qiáng)調(diào)隱密和逃避機(jī)制。比如，在每次與命令控制器(C2)通信時(shí)，它都會(huì)使用隨機(jī)口令加密與C2的通信。而且，它還會(huì)檢測(cè)受感染設(shè)備上是否安裝了下列程序：

.NET Framework Version 3.5

Windows PowerShell

變身僵尸會(huì)查詢注冊(cè)表?xiàng)l目以找到特定程序

這兩種程序均為當(dāng)前版本W(wǎng)indows的默認(rèn)安裝程序。當(dāng)檢測(cè)到這兩種程序時(shí)，變身僵尸就會(huì)在注冊(cè)表中惡意軟件的位置建立經(jīng)過加密的惡意代碼鍵值：

· HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}鍵值Rc4Encoded32和Rc4Encoded64將存儲(chǔ)加密的32位和64位shell code。之后，它會(huì)建立另一個(gè)名為JavaScript的鍵值，用來解密和執(zhí)行Rc4Encoded32和Rc4Encoded64。

如果在系統(tǒng)中沒有檢測(cè)到這兩種程序，變身僵尸會(huì)在用戶啟動(dòng)項(xiàng)(%User Startup%)的文件夾中留下一份自身的拷貝。然后利用應(yīng)用程序接口(API)完成一個(gè)用戶級(jí)別的rootkit，以使躲避典型終端用戶的發(fā)現(xiàn)。它利用NtQueryDirectoryFile來隱藏文件，利用NtQueryDirectoryFile來隱藏惡意軟件進(jìn)程。

在僵尸主的指揮下，變身僵尸能夠執(zhí)行諸如通過表單抓取器盜取信息，DDoS攻擊，自我更新，下載并執(zhí)行文件，以及訪問網(wǎng)址鏈接等常規(guī)動(dòng)作。

變身僵尸與Windows管理工具

變身僵尸之所以有趣就在于，它使用Windows的內(nèi)置系統(tǒng)管理工具PowerShell來逃避安全軟件的檢測(cè)，通過PowerShell來運(yùn)行它隱藏在注冊(cè)表中的組件。Windows 7或更高版本的操作系統(tǒng)默認(rèn)安裝中都包括PowerShell，另一個(gè)程序.NET framework 3.5也是如此。

隨著Windows 7用戶的增加，變身僵尸的感染者越來越多，利用系統(tǒng)的默認(rèn)管理工具擴(kuò)大自身，無疑是一種很好的發(fā)展策略。

無文件式惡意軟件的未來

將來會(huì)有越來越多的惡意軟件作者采取并適應(yīng)這種無文件的手法，他們將不滿足于僅僅使用Windows注冊(cè)表來隱藏惡意軟件，他們還將使用其他復(fù)雜高端的技術(shù)實(shí)施惡意行為，并無需在受感染的系統(tǒng)中留下文件。

對(duì)于一般用戶來說，這種無文件式惡意軟件是一個(gè)很大的安全威脅。通常用戶都被建議檢查可疑文件或文件夾，但不會(huì)去檢查注冊(cè)表，因此給這種惡意程序留下了可趁之機(jī)。

由于難于檢測(cè)，因此也就難于移除。對(duì)于安全廠商來說，它更是個(gè)挑戰(zhàn)，尤其是那些主要依靠基于文件檢測(cè)方式的廠商，因此他們需要開發(fā)新的檢測(cè)方法，比如行為監(jiān)控。

原文地址：http://www.aqniu.com/tools/7425.html

網(wǎng)頁名稱：會(huì)使用隱身大法的惡意軟件——變身僵尸
URL分享：http://www.fisionsoft.com.cn/article/djcppip.html

新聞中心

其他資訊