近期360互联网安全中心接到大量用户举报,反馈系统反复全盘程序被感染。经排查发现用户中招前都是从一些下载站上下载了一些被恶意代码感染的外挂或工具软件,并且在360报毒后选择了退出360,导致全盘感染。
以其中一个QQ刷钻外挂为例,一个看似正常的下载页面:
但下载下来的外挂程序其实已经遭到了感染,和正常文件相比多了一个名为”.rmnet”区段:
通过分析手段可以从代码中清晰的看出,程序的入口代码已被恶意篡改,被增加了如下的一段恶意代码,用以执行恶意功能:
恶意代码执行后,会在程序相同目录下创建一个名为“本程序名+srv“的可执行文件,并写入恶意代码:
写入的代码如下所示。可以看出,该段具有明显的PE文件特征:
被生成的程序如下所示:
新生成的Srv程序被运行后会在C:\Program Files\Microsoft文件夹下创建名为DesktopLayer.exe的文件。该文件为主要功能的执行文件。
在DesktopLayer.exe运行中hook了ZwWriteVirtualMemory函数,由于CreateProcess函数中会调用ZwWriteVirtualMemory,因此程序实现了在创建IE进程的同时对IE进行注入。
最终,被注入的IE遍历全盘文件,感染全部可执行程序。感染的内容和之前被感染的外挂中被感染的内容相同。
对此,360安全卫士进行了拦截
