感謝火絨安全的投遞

近期有公安、氣象等行業若干單位反饋,他們使用“火絨安全軟件”檢測出VRVNAC“桌面監控”軟件攜帶惡意程序,請火絨確認。經分析,該產品所使用的功能組件(AdvancedAll.dll)遭Ramnit病毒感染,惡意代碼被包含在文件的資源數據中,因火絨查殺深度較深,所以會檢測出惡意代碼。

一、概述

火絨團隊早在2015年就發現該產品組件攜帶惡意代碼,并告知過該公司,但問題至今未被解決。火絨團隊推測,這可能是供應鏈污染造成的,該組件的編寫者開發環境被病毒感染,導致相關組件帶毒。雖然這段惡意代碼激活條件比較苛刻,也不會造成大面積擴散,但的確是潛在風險。

據了解,這款被病毒污染的VRVNAC 軟件廣泛應用于公安等行業單位,火絨強烈建議該產品供應商盡快排查開發供應鏈,徹底解決該問題。

二、分析

近期,有用戶反饋火絨檢測到VRVNAC“桌面監控”一組件包含病毒。火絨分析師分析后,發現該組件(AdvancedAll.dll)的資源文件中的網頁資源被病毒感染(火絨檢測為:TrojanDropper/Ramnit.f),并且該惡意代碼早在2015年就被該組件攜帶,至今仍未修正該問題。VRV產品及火絨報毒界面,如下圖所示:

模塊加載列表

火絨查殺圖

簽名比較

火絨反病毒引擎在掃描AdvancedAll.dll文件是會對該文件的資源數據一一分析并掃描,所以雖然惡意代碼被包含在文件的資源數據中,但是仍會被檢測到。如下圖所示:

資源文件

被感染的網頁文件,執行條件比較苛刻(需要IE6瀏覽器內核渲染,并設置瀏覽器安全等級為低),所以在實際用戶環境中不容易被激活。在構造了上述環境并通過IE瀏覽器加載該頁面激活改病毒后,病毒代碼會嘗試釋放并執行惡意代碼,如下圖所示:

釋放svchost

被感染的網頁文件在執行后會在TEMP目錄下創建svchost.exe文件,并將二進制數據(PE文件)寫入到已創建的文件,然后執行。提取到的部分代碼,如下圖所示:

釋放病毒文件

當svchost.exe啟動后會將代碼注入到IEXPLORE.EXE進程中,然后遍歷全盤并感染EXE、DLL、HTML、HTM文件,用于傳播自身。感染邏輯以及運行截圖,如下圖所示:

感染邏輯

感染后文件

活動入口:

走進Verisign - 互聯網根服務器的管理者/.com的守護者

責任編輯:ugmbbc

對文章打分

VRVNAC軟件被查出攜帶惡意程序 行業用戶可能受影響

7 (19%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    新品速遞

    熱門評論

      相關文章

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 北京赛车都有哪些平台 排列三走势图(2019年) 山西十一选五任三最大遗漏数据 上海手机彩票投注 曾道人特码诗 七乐彩七乐彩走势图 福建体彩中心 北京竞彩足球比分 富民一波中特← 最新福建22选5开奖结果今天晚上 开码结果查询今晚 安徽快三网上投注 手机淘宝能不能买彩票 扑克游戏合集 福彩双色球走势图 香港赛马会网址