网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

DBNT云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 61|回复: 0

[转载] 盘一盘2018年那些难缠的顽固病毒木马- [上篇]

[复制链接]

14

主题

25

帖子

33

积分

初出茅庐(02级)

Rank: 2

发表于 2019-2-28 18:18:48 | 显示全部楼层 |阅读模式
一、前言

有一类病毒木马令中招者无比头疼,怎么头疼呢,就是普通网友一旦中招,一般的杀毒方法杀不干净。用杀毒软件杀不完,格式化重装行不行?但这类病毒一般网友格式化重装很快发现又来了。什么样的病毒如此顽固,今天让我们来盘一盘。

顽固病毒主要指利用计算机启动后较早的时机获得执行机会,运行在系统底层的Bootkit病毒及Rootkit病毒。Bootkit病毒会感染磁盘MBR、VBR,在系统引导阶段就获得执行控制权,有启动早,隐藏性高等特点。Rootkit病毒在Ring0层执行,有着较高的权限,往往通过挂钩磁盘钩子,注册回调等技术手段实现自保护,有与杀软对抗激烈,变种多等特点。

2018年较为活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等等家族,其中下半年最为活跃的Rootkit病毒家族为独狼家族,仅电脑管家进行披露的独狼家族相关的病毒感染事件就有3例,传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具,从主页锁定,刷量获利到传播盗号木马,到强力破坏杀毒软件功能,可谓是无恶不作。

Bootkit最为活跃的病毒家族为暗云及隐魂系列,其中暗云不仅频繁更换C2网址,还首次发现和Mykings僵尸网络进行捆绑传播,此外国内厂商披露的暗云变种”隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露,其变种“隐蜂”最主要的变现方式也是挖矿。

Bootkit/Rootkit病毒传播渠道可以分为四大类,主要包括盗版Ghost系统、激活工具、游戏外挂辅助及下载器、第三方流氓软件,及通过漏洞利用弱口令爆破等传播新方式。值得注意的是,腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%。

本文主要从Bootkit/Rootkit病毒活跃家族、传播渠道、对抗技术、典型案例四个方面盘点2018年病毒的主要态势及变化。

二、2018年活跃 B(R)ootkit病毒家族盘点

Bootkit/Rootkit病毒依然是C端普通用户感染后查杀难度较大的主要病毒类型,2018年较为活跃的Bootkit/Rootkit 病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等家族。

典型的Bootkit/Rootkit病毒感染事件包括:

SQL SEVER弱口令爆破入侵,暗云,Mykings等多个病毒家族捆绑入侵传播事件;

酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号,独狼Rootkit木马事件;

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手;

页游微端《血盟荣耀》强锁主页,劫持50余个知名电商和搜索网站流量 等等。

腾讯御见威胁情报中心对Rootkit病毒的签名信息进行统计,发现Rootkit病毒的签名信息高度集中,部分签名会被泛滥使用,其中以“上海预联软件技术有限公司”及“双双何”最为严重被木马病毒使用的最为广泛。

被病毒滥用签名

对2018年度主要的活跃Bootkit/Rootkit进行统计,其主要的变现获利方式有刷流量,锁主页,恶意推广,网络攻击,挖矿等。其中锁主页仍然是最主要的变现方式,占比高达35%,其次为刷流量及软件推广,占比30%,其中暗云,独狼等家族其主要变现方式就是锁主页及刷量。随着挖矿黑产的兴起,挖矿获利也逐渐增多(占比10%),如“隐蜂”木马,暗云新变种等Bootkit木马也转投挖矿获利。

顽固木马的主要获利变现方式

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2019-3-22 20:21 , Processed in 0.130177 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表