下面是小编精心整理的恶意删除UC百度解密“暗箭刺客”病毒技术逻辑病毒防范,本文共6篇,仅供参考,大家一起来看看吧。
篇1:恶意删除UC百度解密“暗箭刺客”病毒技术逻辑病毒防范
据大量用户反馈,自主安装的UC浏览器在手机中被无故删除,重新下载安装后仍被卸载,这一事件引起了UC的极大重视,并在微博进一步发布了“恶意卸载”的声明,在行业引起了极大反响,腾讯 手机管家 病毒检测技术团队第一时间找到了病毒样本,并对这个命名为“暗箭刺客”的手机病毒逻辑进行了详细分析和深度解密。
手机病毒:a.system.appkiller.[暗箭刺客]
主要危害:强制删除UC浏览器、百度搜索等大量知名应用,具有极强的恶意攻击性。
病毒主要逻辑说明:
病毒申请ROOT权限,监听用户解锁或网络变化启动恶意服务,联网获取需要下载app信息(包含哪些是可以删除的字段标识),同时创建相关应用数据库,数据库中包含大量推广应用信息,同时维护了一个可删除应用的数据表,病毒会根据预先设定的时间去发起联网,联网后检测哪些应用可以删除,执行删除应用操作,同时与其它跨进程包有通信联系。
该病毒详细流程如下:
主要是通过ROM内置、部分下载的方式植入用户手机系统,伪装成系统文件“下载管理”,并在后台进一步作案。
1 病毒申请ROOT权限的行为,以获得最高系统关联权限
2 病毒监听用户手机终端解锁或网络变化,启动恶意服务
3 联网获取需要下载的app应用信息
4 分析代码发现了该病毒联网的加密域名,通过解密可得到域名地址如下:
do.sy***y.com/jarjs
101.64.***.136:8085/jarjs
115.238.***.136:8085/jarjs
并进一步发现与该病毒发生远程通信的加密可疑包包名com.android.mic、远程通信服务net.omigo.android.server,
5 病毒会创建和维护相关的app应用数据库
先是联网获取数据库数据信息,
进一步创建app应用数据表
同时维护可删除app应用的数据表
6 病毒代码包含删除系统目录下文件的指令,包括mount -o remount,rw /system /system、rm 、chmod 644等部分加密指令
7 进一步搜索数据库删除指定应用
8 病毒执行删除数据库中指定app应用的操作
由于病毒危害极大,影响深远,腾讯手机管家技术团队迅速反应并已录入病毒库,遇到该类病毒的用户,建议安装腾讯手机管家查杀该病毒,确保手机安全。
?
篇2:备忘录:实战恶意网站病毒防范
作为一名系统维护专员,经常遇到客户抱怨中了恶意网站的招,笔者也经历了无数次与恶意网站对决,一向以完胜告终,但最近遇到的一个恶意网中王却令我足足忙活了一下午,不敢独享,拿出来和各位读者分享。
客户的机器是Windows XP系统,补丁是Update后最新的,IE6也安装了最新的补丁,主页还是显示“about:blank”,但内容已经被恶意网站侵占。修改Blank页这种情况我还是第一次遇到,当时就觉得清除方法不像以前那么简单。
Step1: 拿出Spant(流行病毒专杀工具)查杀后恢复IE无效,用KV 最新病毒库检查也没有病毒。
Step2: 运行程序Msconfig.exe,在程序启动项,注册表中“Run”、“Runonce”、“Runservice”中都没有可疑程序加载,在System.ini与Win.ini和服务中也没有可疑的。
这下弄得我一身冷汗,以前还没有遇到过Spant不能查杀的恶意网站呢。
Step3: 既然Spant不能查杀,在注册表中常常提到的几项修改也会无效的,试着修改了注册表中的相应主页及首页键值,刚修改后启动IE没有问题。重新启动电脑后,恶意网站仍然历历在目,
Step4: 断开网络检查一下,启动IE,居然恶意网页全部清晰的显示出来,看来这个恶意页面并不是从网上而来的,已经在本机寄生(通常在断网的情况下会出现页面无法显示的提示)。
Step5: 看来是Blank这个页面被修改而存在本机,于是找到Blank.htm所在的位置C:\windows\pchealth\
helpctr\System\panels\blank.htm,打开后发现页面是空白的,并没有恶意网页的足迹,看来和我想的不一样,病毒并没有修改Blank.htm这个页面。
Step6: 没有办法了,只好在网上搜索解决办法,还真是搜索到一些内容,在很多安全论坛中都有这个情况的讨论,情况居然和我遇到的一模一样,但都没有得到解决,所有遇到这个病毒的人的最后解决方法都是用Ghost恢复或者重装系统,就连重新安装IE也没用,3721等修复软件对它一点作用没有。
Step7: 这时候看到有人介绍黄山IE修复专家,下载安装后,先恢复IE,再选择“永久免疫”,重新启动计算机,这个顽固病毒终于被我清除了。
黄山IE修复专家
软件版本:7.41
软件大小:4226 KB
下载地址:点击下载
这个病毒的机理,应该是有相应程序的关联,因而修复后过一段时间或者重新启动又会恢复,所以各个启动项和杀毒软件都没能找出异常所在。
篇3:新型恶意软件遭遇战病毒防范
这款较为新颖的恶意软件是我昨天遇到的,今天就被我搞定了,它是一个老的 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day啊。
利用IDA进行初步检测,报出一个错误:
估计制作这家伙的兄弟也知道, 迟早某一天它会被像我这样的人拿来瞅瞅的。确实有许多的修改可以用来搅乱反汇编结果,而丝毫不影响Windows上的运行。
用CFF Explorer来看看,发现NT头部的一个错误在“Data Directories”的“Delay Import Directory RVA”项中。CFF很好的为我们指出0×00000040值是错的。将其清零就可以解决此问题。
保存修改的exe,在IDA中重新打开,之前的错误提示就消失了,一切正常。
在IDA里简单的过一眼就可以知道这是一个MFC程序。我咋知道的呢?在导入表的Library字段很清晰的表明了。
当然了,该程序被压缩了。没有节表修改,典型的内存压缩。
这就意味着静态的分析不再有效,我们需要动态分析来获得更多的信息。来吧,操起Immunity。
在开始immunity和虚拟机之前,exe文件里有些有趣的东西,没有很明显的在IDA里出现,但在CFF explorer里我们可以看到。首先,有几个隐藏在资源目录的文件凸显出来。
第一个是PNG文件。
然后是一个html文件。
在IfranView(最好的图像查看器)里浏览下该PNG文件,仅显示了一个很小的黑图片,这显然不足55kb大小。所以,里面肯定隐藏了点啥。呆会再来收拾它。
来吧,到你了,html文件。用notepad++加载清理,可以看到一些浏览器检测代码:
为啥这里仅是简单的放在了资源节表里,而不同其他代码一起压缩处理?真是个谜啊。先在脑海中记着这些资源节表,稍后处理。现在回头来解压这家伙。
首先开启Immunity调试器和VirtualBox,加载我们的anti-anti-debug python插件。
现在将这货运行起来,待其完全运行之后检测内存。
可以看到有些内存区间被标记为可读可写可执行(RWE),分别在00910000,00930000,00940000和00970000。检测一番,发现4个当中仅有3个包含着代码。该程序仍然有3个隐藏的代码?太酷了吧。
现在我们要从内存中导出程序到文件里,便于后续的分析。使出OllyDumpEx,填入0090区间,可看到00910000和00970000的程序同原始的程序在大小、节表和属性上都匹配。而00950000处的内存与其他的不同:有不同的节表,不同的大小。一定是隐藏着彩蛋啊。
利用‘Binary(Raw)’模式而不是重新构建模式导出exe文件,这样可以保证导出的数据的完整性。
2个无用的节表表明程序被UPX进行压缩了。运行upx工具确认了这一点。意味着我们可以砸出彩蛋了。
新的exe文件正确的解压后多出了40KB,现在我们终于可以在IDA里瞅瞅了。看下strings,有些有趣的信息:
这是啥?HTTP请求信息。看起来这货使用POST请求回传数据啊。
你可能会问C&C服务器在哪呢?似乎不在程序的明文里。还记得前面提到的资源节表吗?再来看看彩蛋的资源节表吧。
瞧,31.207.6.161。作者就这样将其放在明文里,让我们捡了个大便宜。想通过隐匿来获取安全,没门。
我知道你在想啥,主程序运行起来是啥样呢?就让我们来看看吧:
一运行起来,就自动的关闭了我的process explorer,我要运行任务管理器都会被一闪而过的消息窗提醒“任务管理器已经被管理员禁用”,
我也很想展示下截屏,但我动作实在没它那么迅速。动用Immunity打开,发现原始的“golden_egg.exe”不再运行。另一个名为“zpNvNKSi.exe”的程序从临时文件夹运行起来了。根据hash比较,其实是同一个程序:
喜欢我的哈希程序吗?到这下载吧。
广告时间结束了。现在很清楚该程序做啥了——禁用任务管理器,终止不受欢迎的程序,从临时文件夹运行。检查msconfig发现添加了2个自启动文件。
我对它们都进行了检查,确认正是原始程序的完全拷贝。
将程序附加到immunity,检测程序内存和线程数目(“t”键),显示出该程序是多线程的。我数了下,12个线程。
我猜测这些线程互相监控对方,以防被终止。然而将主程序挂起,用Process Explorer打开它,观察内存,通过检测,发现了一些IDA strings未看到的内容:
大胆猜测一下,我认为这货会检查这些程序,如果发现它们运行就强制结束它们。这就解释了当该程序运行时,process explorer为啥就被终止了。要运行这些工具就有点难了,有regedit,LordPE,wireshark,regmon,filemon,procmon,tcpview,taskmgr以及Windows Defender。吼吼,我没看到Process Explorer的小伙伴Process Hacker啊。
再来说内存,上面表明程序要么是混淆了那些字符串,要么就是进行了再次的压缩。不管哪个,把它揪出来。
对那些我们在Process Explorer中看到的字符串进行unicode格式的搜索,可以看到‘taskmgr’在.data节中。 关于这些字符串,难道IDA骗了我们?完全不是这样的。再看一遍,慢慢的利用二分法搜索一遍,的确可以看到这些字符串。 我猜IDA进行搜索时,默认的不显示unicode字符串。你可以在IDA中通过’alt+A’ 快捷键,选择6选项来更改。
检查这些新的unicode字符串,似乎该恶意软件还有更多的功能。
这才有趣啊。因为这货阻止了Wireshark的运行, 我们需要定位到负责终止功能的地方,并进行修复。咋做呢?对TerminateProcess API调用进行定位。这在IDA里很容易就能做到。在导入节表里我们看到一个对TerminateProcess的引用。
似乎是段循环,利用“CreateToolhelp32Snapshot”API遍历进程名称,如果满足条件,就终止掉它们。那些我们之前看到的黑名单似乎验证了这一点。
那我们能做点啥呢?改变程序的运行逻辑,使其不再调用TerminateProcess,也就没啥影响了。检查该部分的外部引用(Xref’s, eXternal REFerenceS), 可以看到函数为00401D2A所调用。有个‘jnz’指令负责决定是否调用那段负责查询、终止进程的过程处理。如果我们能修复这段程序,使其不再调用,将其跳过,就可以运行黑名单上的程序啦。
开搞吧。 我比较喜欢用immunity进行修复,一是它简单,二来我也比较熟悉。定位到运行程序的子过程部分,进行条件跳转的指令在‘0x00401d4e’。将那片区域进行nop填充,使得指令流返回,而不是跳转到终止黑名单进程的00401d2c处。
继续运行程序,开启一个被黑名单的程序进行测试。“regedit”也可以正常运转了,“process explorer”也没有被终止,我们成功了。
现在我们可以利用wireshark进行仔细的网络行为分析了,文件和注册表的分析利用procmon,好好的摆弄Process Explorer处理吧。
用Process Explorer看到程序通过80端口向我们前面挖掘出的C&C服务器发送一个syn包。
Wireshark显示的更多。可以看到发向HTTP C&C服务器的syn包,也有一串的向未知域名的DNS请求。这是咋回事?
服务器会继续回调,但我不想让它这样。可以修改“golden_egg.exe”中的资源节表,使其指向我自己的HTTP服务器,检查它的功能。还有很多可以干的,现在我们已经获得所需要的了,有了C&C地址,解压了程序,也有了它的HTTP特征以及它的行为。案子就这样结束了
篇4:怎样清除9991.com恶意网站病毒防范
前言:听朋友说9991.com很厉害,笔者想再怎么厉害的网站同样也是有办法可解的吧!于是登陆到该网站,发现这个网站能自动下载程序到用户的电脑中,修改IE设置,并且非常难以清除,
修改IE设置
作为一个垃圾网站9991.com算是非常厉害的了,这个垃圾网站三个多月的时间从ALEXA排名没有数据现在到了前100,一个网站在我们没有看到任何广告的情况下突然飙升为100上下呢?很明显,用了非常让人讨厌的流氓手段。
世上没有决对的事情,下面就来讲讲我如何清除它:
在“开始”“运行”输入“msconfig”,调出系统配置实用程序,打开启动项,看到有一个update.exe启动着,顺手打开任务管理器,看了一下,没有Update.exe这个程序运行,偶就把这个启动项给勾掉了,然后根据启动项的启动目录,找到C:\盘程序文件夹下通用文件夹内,对准Update目录,按下DEL键,居然提示不能删除,郁闷!
看了一下通用文件夹下,还有一个SAND文件夹,这个文件夹也不是什么好玩意,按下DEL,一并清理,将IE主页恢复,重新启动计算机,再次找到Update目录夹,按下DEL,这次它乖乖地和垃圾呆在一起了,
打开IE一看,主页已经被我顺利收复。
全盘搜索了一下,发现在c:\windows\system32下还有一个update.exe,确认了一下日期及公司,一并删除。
注:通用文件夹指的是C:\Program Files\Common Files
笔者的话:
网络本来需要一个相对安静的环境,在我们一至申讨流氓软件的同时,这些流氓网站带给我们的烦恼是有过之而无不及。不断的利用IE漏洞修改我们的设置,给我的网络生活带来了非常大的不便。面对这些问题,我们应该如何办呢?笔者认为在用户加强防范的同时,法律法规上面需要得到更大的加强,对这些流氓网站采取更大的打击力度。流氓网站也是一个大众化的问题,所以程序员们应该开发出更多好软件出来保护我们的网络环境。
篇5:恶意rootkit工具清理五要诀病毒防范
作为一种软件,rootkit可以连接并进入计算机的同时,向用户和管理员隐藏它存在的迹象,尽管rootkit本身可能是无害的,但隐藏的软件或进程却几乎都是存在问题的。和病毒不同,rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷,可以带来最严重的损害和威胁。处理Rootkit时遇到的最大问题就是,一旦系统被入侵,就很难防范检测和清除,因为它们的主要目的就是制造混乱。
但是,这并不意味着你一定要被rootkit摆布。你可以制定防范措施,在它们出现的时间予以阻止。更妙的是,你可以在出现的第一个地方将它们清除。
1对系统进行保护
你并不需要随时关注所有事情。当然,这也不意味着你需要放弃保护措施。在安装新Linux系统时,首先要做的就是安装rkhunter。它是一个非常有效的rootkit防御工具。如果你使用的不是Linux操作系统,就需要选择AVG Anti Rootkit或ComboFix之类工具来完成相关任务。
2关注各种细微的迹象
尽管rootkit不会主动暴露出可以让你发现的微小痕迹,但总是有办法做到这一点的。如果接收到来自不同对象的通知,宣称你正在发送大量垃圾邮件的话,就很可能存在一个隐藏的rootkit,让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器,在发现奇怪的重定向操作时间,就可能已经中毒了。对于UNIX和类UNIX系统,可以查看可执行文件的版本或者目录结构的变化情况。如果你使用ls/usr/bin或ls/usr/sbin命令进行查看时,发现正常应用似乎出现命名错误的话,就很有可能是受到rootkit的攻击,
当然,最简单的检测方法就是定期运行rkhunter
3清除它
如果发现系统已经被感染的话,那首先要做的就是关闭这台机器!然后,移出驱动器,安装在另一台机器(最好是非Windows系统)上,并将数据拷贝出来。这是因为存在重新安装操作系统的可能,所以,要确保数据不受到影响。而且,启动和运行受到感染的系统,只会带来更大的损害,尤其是在垃圾邮件机器人或类似软件运行的情况下。
4千万不要忘记Tripwire
数据完整性监控工具Tripwire可以用来对给定的配置系统/目录里的文件变化进行监控。而rootkit的一项主要工作就是掩饰恶意软件的存在。通常情况下,它们会采用重命名文件或文件夹或安装类似名称的文件/文件夹的方式。使用诸如Tripwire之类的工具,你可以马上发现这种行为。在这里至关重要的是,在安装完操作系统后,你应该马上安装Tripwire。否则的话,rootkit可能已经安装到系统里了,Tripwire的实际效果就会大受影响。
5进行内存转存处理
这是一种更具挑战性的方法,它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核(甚至全部)内存进行强制转存,以捕捉rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中,rootkit不能混淆其工作,并会被检测出来。当然,这样的话,你将不得不清除数据并重新安装。
坚持预防为主
Rootkits带来的危害是非常严重的。因此,最好的办法是安装安全工具,防止系统被感染。而rootkit最大的问题是,它们造成的危害需要你清除数据和重新安装系统。所以,我们必须积极行动起来,采取一些办法来进行预防。
篇6:新的恶意木马程序新变种现身互联网病毒防范
天津12月1日电(记者张建新、吴刚)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现恶意木马程序新变种Trojan_ServStart.PF,
该变种运行后,将其自身复制到受感染操作系统的系统目录下,重命名为可执行文件,其文件名是随机生成的。该变种会打开受感染操作系统的服务控制管理器,创建一个自启动的进程服务,
与此同时,该变种获取受感染操作系统缓存目录,将病毒文件移动重命名为一个日志文件,并设置重启删除。
该变种获取受感染操作系统的相关信息(诸如:计算机名、操作系统版本、处理器类型、内存大小等)后,随即将其发送到恶意攻击者指定的主机上,最终导致受感染操作系统接收并执行来自远程主机发送的恶意代码指令。
另外,该变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。
针对已经感染该恶意程序变种的计算机用户,国家计算机病毒应急处理中心建议立即升级系统中的防病毒软件,进行全面杀毒。对未感染的用户们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。
★敲诈者(Trojan.Disclies.e)解决方案病毒防范
★“燕子”(Worm.Yanz.b)蠕虫病毒分析报告病毒防范
文档为doc格式