网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

服务器被入侵检测
DBNT云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 122|回复: 0

[转载] 盘一盘2018年那些难缠的顽固病毒木马- [中篇]

[复制链接]
匿名
匿名  发表于 2019-2-28 18:41:33 |阅读模式
三、B(R)ootkit病毒传播渠道1. 盗版Ghost系统

盗版Ghost系统长期以来一直都是病毒传播的重要载体,更为重要的是,预埋了病毒的盗版Ghost往往利用搜索引擎厂商的广告竞价排名,使得普通网民在搜索“Ghost”系统,“win 7”,“激活工具”等相关关键字时显示在搜索前几名的绝大部分都是带毒的系统,即使网民试图通过搜索引擎搜索“净化版”,展示的搜索结果仍会在靠前的位置展示内嵌病毒的下载链接。

带毒Ghost系统

腾讯御见威胁情报中心对各大站点的Ghost系统进行了检测发现有几个特点:

a. 这些盗版Ghost系统的下载链接会被频繁的更换,其主要目的是为了躲避安全厂商对这些下载链接的报毒提示;

b. 这些带毒的系统绝大部分会利用搜索引擎广告进行推广。由于国内软件使用习惯等原因,普通网民获得这些安装系统的主要途径就是网上搜索,这导致了有重装系统刚需的用户有极大概率会下载这些存在风险的系统而成为受害者;

c. 提供这些Ghost系统的网站基本都在显要位置推带毒系统下载。

腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%,这里的系统异常指由于系统预埋病毒导致的主页被锁定,暗刷流量,流氓推装其他软件等系统异常问题。

异常系统占比

部分问题下载链接及站点

盗版Ghost系统已成病毒传播温床,重要的原因是其背后存在利益驱动。首先是盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装,随后Ghost系统中预装病毒,最终实现软件推广安装,劫持主页等手段进行获利。获利之后再继续加大推广力度,形成一个完整的闭环产业链。

鉴于盗版Ghost系统,各类激活工具已长期频繁地被病毒团伙利用传播,建议网民尽量使用正版软件。

病毒获利链

2. 盗版激活工具、游戏外挂及各类下载器

游戏外挂,各类辅助工具也是病毒传播的重要载体,其目标为游戏玩家,而传播这些外挂辅助工具的主要是各大外挂网站,包括七哥辅助网(www.52wzlt.cn)、我爱辅助网(www.50fzw.com)、屠城社区等多个游戏辅助网站。

经常被用于和病毒打包捆绑传播的外挂辅助工具包括荒野设备解封器、单板方框透视、DNF梦幻装备、帝王破解版等。2018年披露的通过外挂辅助进行传播的Rootkit/Bootkit包括双枪木马,紫狐,外挂幽灵等病毒家族。

流行的带毒游戏外挂、辅助工具

2018年,被用于传播病毒的激活工具中最活跃的莫过于小马激活工具。激活工具有多个变种,打着win7 激活、系统激活、office激活的名义,换各种马甲传播,病毒文件往往和激活工具捆绑打包,运行后便会染毒。独狼2代就是主要通过激活工具进行传播。

小马激活工具

3. 第三方流氓软件

除了前面提到的的盗版Ghost系统、激活工具、下载器等传播渠道,第三方流氓软件也是Rootkit/Bootkit病毒的重要传播渠道。

第三方流氓软件的主要特点是,这些软件往往都是用户主动去进行下载安装,看起来和正常的软件没什么区别,都有完整的安装及展示界面,但是这些软件却神不知鬼不觉地往用户电脑机器上安装病毒文件,这类传播渠道往往有隐秘性,看起来像“正规”商业软件,用大量网民使用。

这类传播渠道的病毒感染安装主要有两种方式,一种是安装完软件后并不会马上感染病毒,而是过一段时候后通过云端控制或者软件升级的方式下载安装病毒,另一种方式是病毒和软件捆绑安装。

这类传播渠道已成为病毒传播的重要推手,仅仅在2018年下半年,经电脑管家首先进行披露的利用第三方流氓软件传播Rootkit/Bootkit病毒的就有主页保安、血盟荣耀微端、护眼小秘书、酷玩游戏盒、桌面助手等软件。

护眼秘书、血盟荣耀展示界面

4. 利用漏洞、弱口令爆破等传播新方式

通过弱口令爆破,漏洞利用成功后进行投毒,以前这类病毒传播入侵方式更多的是集中于B端企业用户。但近年来随着挖矿病毒、勒索病毒的兴起,挖矿勒索等病毒为了增加查杀难度,获得更早的执行机会,也会和Rootkit/Bootkit这类顽固病毒进行捆绑传播。

其中最为典型的案例如,暗云木马和Mykings僵尸网络捆绑传播,由于暗云木马在系统引导阶段之前就获得了执行机会,其执行时机要比操作系统还要早,这就大大增加了查杀成本和难度,在这次传播事件中,首先是通过SQL SEVER弱密码进行爆破,爆破成功后投放暗云木马、Mykings僵尸病毒,随后Mykings僵尸病毒会利用多种漏洞在内网主动扩散,永恒之蓝、Telnet爆破、FTP爆破等都是病毒传播者最惯用的伎俩。

入侵传播方式

尝试SQLSEVER弱密码爆破

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2019-5-23 08:39 , Processed in 0.136601 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表