互联网 频道

AVG:BAT病毒卷土重来悄无声息攻城略地

  【IT168 应用】创建文件、恶意篡改IE主页这些司空见惯的病毒行为,人们早已熟悉。各家杀毒软件的扫描引擎也早就对这些敏感字符串加以监控,只要程序中包含这些内容就将被视为可疑文件,从而大大降低病毒的存活几率。但“顽强”的病毒作者们总会想尽一切办法来进行对抗。

  最近,AVG中国病毒实验室就侦测到一种新型的bat病毒,正在悄然蔓延。

  与以往常见bat病毒的不同在于:此次的病毒是将内容以十六进制形式分散写入多个文件,然后将这些文件进行拼接组合,生成最终的恶意程序。

  拼接的方法是采用copy A /b + B /b + ...(/b以二进制形式)。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图1

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图2

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图3

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图4

  将众多“正常”文件巧妙组合成病毒文件,拼接过程中没有出现明文的字符串,降低了被检测到的几率。

  下面来看下病毒的具体行为:

  1.首先在D盘下创建msn\gaming文件夹,设置属性为系统+隐藏。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图5

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图6

  2.在桌面创建“淘”字样图标,修改IE主页,添加导航网页和钓鱼网页,自启动。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图7

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图8

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图9

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图10

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图11

  3.拼接生成2个exe文件link.exe和Ker.exe,用于启动tmptwo.bat, “start /min”是最小化运行,从而降低了被发现的几率。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图12

  Tmptwo.bat用于启动fuck.bat。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图13

  fuck.bat用于实现2的功能。(该文件也是拼接生成)

  4.清理这些用于拼接的临时文件。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图14

  在后续的变种中,为了逃避杀软的查杀,病毒作者在原有基础上做了修改。

  一种是修改bat文件的头部,加入了用于混淆的垃圾代码。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图15

  另一种是给批处理文件加密,方法是在文件头部加上FFEF,让记事本一类的文本编辑器以UNICODE方式打开批处理文件,就会显示乱码,但Windows本身并不认为这个文件是UNICODE格式文件,依然依次执行文件中的每条命令,批处理文件仍然能够正常运行。

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图16

  切换到十六进制模式显示如下代码:

AVG:BAT病毒卷土重来悄无声息攻城略地
▲图17

  如果强行在要被加密的批处理文件头增加UNICODE文件头FFFE,肯定会造成被加密批处理文件的第一条命令执行错误,而作者,在FFFE后面加了一个0D0A,这是个回车换行命令,这样就不会影响被加密文件第一条命令的执行。

  AVG已经将其检测为Bat/Agent,能有效阻止该恶意软件。在这里,AVG不得不提醒广大用户,及时更新病毒库、定时查杀,养成良好的上网习惯才是王道;另外,网上冲浪特别是在网购的时候,看好官方网站再登入,千万不要被山寨网购网站所迷惑。

  想要获得更全面的安全保护,欢迎访问www.avg.com 。

0
相关文章