|
||||
創建文件、惡意篡改IE主頁這些司空見慣的病毒行為,人們早已熟悉。各家殺毒軟件的掃描引擎也早就對這些敏感字符串加以監控,只要程序中包含這些內容就將被視為可疑文件,從而大大降低病毒的存活幾率。但“頑強”的病毒作者們總會想盡一切辦法來進行對抗。
最近,AVG中國病毒實驗室就偵測到一種新型的bat病毒,正在悄然蔓延。
與以往常見bat病毒的不同在於:此次的病毒是將內容以十六進制形式分散寫入多個文件,然後將這些文件進行拼接組合,生成最終的惡意程序。
拼接的方法是采用copy A /b + B /b + ...(/b以二進制形式)。
將眾多“正常”文件巧妙組合成病毒文件,拼接過程中沒有出現明文的字符串,降低了被檢測到的幾率。
下面來看下病毒的具體行為:
1.首先在D盤下創建msn\gaming文件夾,設置屬性為系統+隱藏。
2.在桌面創建“淘”字樣圖標,修改IE主頁,添加導航網頁和釣魚網頁,自啟動。
3.拼接生成2個exe文件link.exe和Ker.exe,用於啟動tmptwo.bat, “start /min”是最小化運行,從而降低了被發現的幾率。
Tmptwo.bat用於啟動fuck.bat。
fuck.bat用於實現2的功能。(該文件也是拼接生成)
4.清理這些用於拼接的臨時文件。
在後續的變種中,為了逃避殺軟的查殺,病毒作者在原有基礎上做了修改。
一種是修改bat文件的頭部,加入了用於混淆的垃圾代碼。
另一種是給批處理文件加密,方法是在文件頭部加上FFEF,讓記事本一類的文本編輯器以UNICODE方式打開批處理文件,就會顯示亂碼,但Windows本身並不認為這個文件是UNICODE格式文件,依然依次執行文件中的每條命令,批處理文件仍然能夠正常運行。
切換到十六進制模式顯示如下代碼:
如果強行在要被加密的批處理文件頭增加UNICODE文件頭FFFE,肯定會造成被加密批處理文件的第一條命令執行錯誤,而作者,在FFFE後面加了一個0D0A,這是個回車換行命令,這樣就不會影響被加密文件第一條命令的執行。
AVG已經將其檢測為Bat/Agent,能有效阻止該惡意軟件。在這裡,AVG不得不提醒廣大用戶,及時更新病毒庫、定時查殺,養成良好的上網習慣纔是王道;另外,網上衝浪特別是在網購的時候,看好官方網站再登入,千萬不要被山寨網購網站所迷惑。