百銳捕獲超強病毒 電腦屏幕變廣告展板
9月8日百銳安全實驗室捕獲到一種病毒的***的變種AD.W32.OLG.dc。該病毒最早出現在今年6月份,之后對抗殺軟進一步更新技術。***變種感染后的計算機,每次開機無法執行任何操作,無法創建進程,電腦完全變成了廣告宣傳畫(如下圖所示),該病毒用惡劣的技術手段控制計算機,在染毒后未重啟的情況下,會加入winlogon啟動項, 結束進程管理器,explorer.exe ,阻止任何新進程的創建。
相比最近熱門的BMW bioskit 病毒而言,他沒有使用復雜的底層計算機,但無論是正常重啟,還是安全模式重啟(僅當以命令行安全模式,管理員身份登錄時,恢復explorer啟動才行,清除相關修改項),進行系統后都是無法進行任何操作。只能重新安裝。該病毒目前可穿透多數流行的防御軟件。
開啟百銳僅當實時監控,動態啟發式分析可以檢測該病毒。
Jashla.exe是病毒的衍生文件
該病毒外層采用upx 加殼,運行后會加入大量混淆數據,防止靜態分析
構造程序大量無意義跳轉分析干擾分析
在大量的變形代碼中,加入解密的過程,前段程序解密后端代碼
此時在解密中0x40c840出代碼,而此時0x40c840是空白數據
解密后是繼續混淆的功能代碼。
經過最終反復解密后,最終會運行真正的惡意代碼
該病毒會釋放自身到下面目錄,隨機創建文件名稱,并執行該進程,同時自刪除自身。后續操作有另外新啟動的進程執行。
C:\Documents and Settings\%user% \Application Data\fjhyf.exe"
該程序會讀取自身是否的配置文件,決對下一步操作。
同時開啟線程,
加載自身廣告圖片,設置當前系統的背景,此時用戶無法操作界面上面圖標,僅tab鍵可以使用。
判斷操作系統版本,將自身進程路徑加入到
"Software\Microsoft\Windows NT\CurrentVersion\Winlogon",中做到隨機啟動。如不成功在加入自啟動項中。同時結束掉系統的任務管理器和資源管理器。同時監控系統新啟動的進程,發現則結束掉。
在另一個線程中,截獲windows消息過濾并轉發,保證當前背景圖片始終是自身設置的廣告,而當前桌面所有圖標均被隱藏。
該病毒純以惡意破壞為主,ByteHero百銳信息安全實驗室提醒廣大網友使用包括ByteHero百銳金盾BSD1.0在內的未知病毒防御軟件保護您的數據安全。
免費下載百銳金盾:
