国产一区二区三区精品视频导航-国产一区二区三区精品综合-国产一区二区三区久久精品-国产一区二区三区乱-国产一区二区三区乱码福利-国产一区二区三区乱码在线观看

挖礦病毒通過Flash漏洞傳播,小心電腦變礦機(jī)

       4月24日,火絨安全團(tuán)隊(duì)發(fā)出警報(bào),病毒團(tuán)伙利用Adobe Flash漏洞傳播挖礦病毒。病毒團(tuán)伙將挖礦程序植入到游戲下載站“52pk”中(www.52pk.com),當(dāng)用戶訪問該網(wǎng)站,帶毒頁面展示后,無需任何操作,挖礦程序便會(huì)立即運(yùn)行,利用用戶電腦“挖礦”(門羅幣)。特別的是,該病毒使用的“免殺”技術(shù)相比以往的簡單篡改文件哈希有較大改進(jìn),已經(jīng)有了國外混淆器免殺技術(shù)的雛形,在一定程度上提升了安全軟件對(duì)其查殺的門檻。

通過我們對(duì)該樣本的分析,我們發(fā)現(xiàn)雖然樣本來源為國內(nèi),但是其所使用的混淆技術(shù)已經(jīng)具備一些簡單的混淆器特征,如:使用無效參數(shù)調(diào)用系統(tǒng)API、利用系統(tǒng)API影響原始鏡像加載流程等。用于解密原始鏡像數(shù)據(jù)的代碼數(shù)據(jù)被存放在資源“YBNHVXA”中,病毒沒有使用資源相關(guān)的API讀取數(shù)據(jù)而是直接通過硬地址進(jìn)行數(shù)據(jù)讀取。

資源數(shù)據(jù),如下圖所示:

病毒資源

相關(guān)代碼如下圖所示:

獲取解密代碼

在主要病毒邏輯代碼中被插入了大量的無效函數(shù)調(diào)用,參數(shù)全部都為0。如果虛擬機(jī)引擎未對(duì)這些API進(jìn)行模擬,則會(huì)無法解密出原始鏡像數(shù)據(jù)。雖然該病毒所使用的混淆手法極為簡單,但也已經(jīng)具備了混淆器對(duì)抗虛擬機(jī)引擎的一些技術(shù)特點(diǎn),可能將來國內(nèi)病毒與安全軟件的對(duì)抗方式也會(huì)以混淆器為主。相關(guān)代碼如下圖所示:

混淆代碼

該病毒在火絨虛擬行為沙盒中的運(yùn)行行為,如下圖所示:

虛擬行為沙盒中的病毒行為

在混淆代碼運(yùn)行完成后,最終執(zhí)行的惡意代碼會(huì)挖取門羅幣,礦工相關(guān)信息如下圖所示:

礦工信息

通過對(duì)門羅幣錢包地址的查詢,我們可以看到當(dāng)前為該錢包地址進(jìn)行挖礦的礦工情況,截止到此時(shí)礦工總數(shù)為483。如下圖所述:

門羅幣錢包情況

聯(lián)系我們

如有問題請(qǐng)聯(lián)系我們,我們7*24小時(shí)竭誠為您服務(wù)

主站蜘蛛池模板: 国产伦精品一区二区三区免费观看 | 日本大香伊一区二区三区 | 精品国产福利在线观看 | 日本高清色本在线www游戏详情介绍 | 91大神在线资源观看无广告 | 精品深夜av无码一区二区老年 | 天天综合色天天综合色hd | 国产精品日韩欧美一区二区三区 | 色老板在线视频一区二区 | 国产呦在线观看欧美一区 | 国产精品亚洲а∨无码播放麻 | 丰满少妇人妻hd高清大乳 | 日韩精品一区二区三区高清免费 | 日本无遮挡真人祼交视频 | 济南市莱芜区新型城镇化规划 | 人妻在线日韩免费视频 | 97国产在线一区不卡 | 中文字幕无码成人免费视频 | 亚洲日求啪啪免费观 | 国产精品一在 | 91精品在线免费观看 | 日本亚洲成人片在线观看 | 亚洲色偷偷色噜噜狠狠99 | 国产成人啪精品视频免费网站 | 国产午夜福利av在线机视频 | 亚洲av无码国产精品色午夜 | 无卡码一区二区久久 | 亚洲v成人无码精品网站产 亚洲v高清一区二区三区尤物 | 国产成人精品免费久久久久 | 日本三级片在线观看 | 国产成人高清在线观看播放 | 在线观看午夜天堂 | 国产精品一区不卡在 | 国产白丝无码免费视频 | 国产精品一区二区久久精品 | 日韩欧美视频 | 精品人妻大屁 | 亚洲永久精品一区二区三区 | 91蜜桃国 | 一色一伦一区二区三区之详细解析绿莲手游网 | 亚洲一区二区精品无码 |