Gamarue僵尸网络
Gamarue僵尸网络
1、病毒简介
Gamarue病毒是一种通过移动设备传播的蠕虫病毒,病毒运行后创建进程“wuauclt.exe”,将进程的内存镜像替换成病毒镜像,然后执行病毒代码。修改注册表,实现开机自启动。病毒会将自身写入至系统目录,临时文件夹中也会存在随机文件名的病毒主体。
当U盘、移动硬盘等移动存储设备插入时被立刻感染,U盘内的所有文件被转移到一个隐藏文件夹中。染毒U盘中会出现一个thumbs.db文件,其本体是加密后的PE文件“TrustedInstaller.exe”,程序会把这个文件解密后执行这个文件,打开真正的病毒程序。
2、病毒危害
该病毒运行后会感染U盘、移动硬盘等移动存储设备,后台连接大量黑客指定网址,向黑客上传电脑硬盘中的敏感信息,并下载更多病毒。用户电脑一旦中毒,将面临隐私信息泄露、重要资料丢失等风险
3、终端验证
1、创建文件
C:/Documents and Settings/All Users/Documents/目录或
C:/Local Settings/All Users/Local Settings目录下会生成一个Thumbs.db的数据库文件
2、病毒进程
样本使用了内存映像替换技术,创建进程“wuauclt.exe”后将进程的内存镜像替换成病毒镜像,然后执行病毒代码,即此时wuauclt.exe进程不是真正的wuauclt.exe进程了
3、注册表信息
在HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run以实现开机自启动
4、移动设备
染毒U盘中出现一个以U盘卷标+容量命名的快捷方式,原U盘所有文件被转移到一个隐藏文件夹中。U盘中创建了下面几个文件:
desktop.ini
WNCLNLOKOKU.nil
desktop.ini
Thumbs.db
U盘名称 (XGB).lnk
5、网络行为
中毒后的主机会尝试连接黑客控制的服务器,通过wireshark抓包,我们可以发现相关dns解析请求
使用微步在线查询,改地址指向了Gamarue域名
4、查杀处理
1、使用EDR在感染病毒的电脑上进行全盘扫描查杀,查杀结束后重启计算机,并检查重启后是否有其他新的文件或进程生成。
2、移动设备同样可以使用杀毒软件全盘查杀,如果设备上的内容存有其他备份,建议格式化以保证完全清除病毒。常见的杀毒工具很多,这里推荐下火绒的:http://www.huorong.cn/
Gamarue僵尸网络相关推荐
- DfE给学生提供的笔记本电脑感染了恶意软件
英国广播公司(BBC)报道,英国教育部(UK Department for Education,DfE)分发给弱势学生的一些笔记本电脑被发现感染了恶意软件. 这些设备由政府免费发放,用于帮助COVID ...
- QQ 鼻祖立功!世界最大僵尸网络 Andromeda 为祸七年终被捣毁
逍遥许久终被逮捕,目前,臭名昭著的 Andromeda 恶意软件已被成功移除. 近日,网络安全公司 Recorded Future 报道称,白俄罗斯已经成功逮捕了 Andromeda,即仙女座僵尸网络 ...
- 一次被僵尸网络病毒攻击的过程
事件背景 回想起来应该算是去年的事情了, 时值 2019 年 1 月 24 日早上, 当时我正忙碌于开发手头的一个珠宝分销系统项目, 由于已经进行了多日封闭式开发, 项目初见效果, 准备放到内网服务器 ...
- 物联网设备僵尸网络趋势分析
物联网(IoT)僵尸网络作者正在适应更安全的物联网设备的转变,这已经将***者的注意力转移到利用物联网设备的漏洞上.由于物联网设备安全性仍处于起步阶段,因此发现命令注入等基本漏洞并不少见. 2018年 ...
- 导致美国大范围网络瘫痪的Mirai僵尸网络
2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络 Mirai僵尸网络是第一个"僵尸"各种物联网设备的大型僵尸网络,它使用了自动伪随机扫描过程来发现和感染新设备
- 【重要预警】“永恒之蓝”漏洞又现新木马 组成僵尸网络挖矿虚拟货币
WannaCry和UIWIX勒索软件在全世界掀起了轩然大波,但是利用"永恒之蓝"漏洞进行攻击的却不止这两个恶意软件.今日,亚信安全中国病毒响应中心发现了利用"永恒之蓝&q ...
- 威胁预警|多个挖矿僵尸网络开始使用ThinkPHP v5漏洞 威胁升级
前言 12月10日ThinkPHP团队发布了版本更新,修复了一处远程命令执行漏洞,该漏洞是由于ThinkPHP框架对控制器没有进行严格的安全过滤,致使攻击者可以伪造恶意参数进行代码执行.12月11日阿 ...
- 浅析防御僵尸网络基于应用层的DDOS攻击
近期数据显示,针对应用层的DDOS攻击有加速的趋势.据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右.研究指出,黑客现在 ...
- 最新ZeuS僵尸网络敲响网银安全警钟
一些新的能力正在增强ZeuS僵尸网络.犯罪分子利用这个僵尸网络在网上银行.自动清算中心网络和工资管理系统上窃取金融证书和执行非授权的代码.这个最新版本的犯罪工具(起始售价大约3000美元)提供了一个1 ...
- 僵尸网络病毒之BotNet扫盲、预防及清除
自今年伊始,就看到了有关"僵尸网络"病毒不断泛滥的报道.今天下班回家看中央台新闻频道,发现我们国家感染该病毒的用户就有几百万台(没记得很清楚),再到网络上一查,发现电信.联通,还有 ...
最新文章
- ecplise 工具字体大小的调整
- search result
- 创业记——个人电脑、服务器选型
- 【python】入门指南:控制语句
- MS UC 2013-2-Deploy Microsoft Exchange Server 2013-4-Post-Installation Tasks
- Winform Echarts 显示百度地图的用法(3)
- 洛谷2017-2月月赛
- POJ 2773 Happy 2006 (容斥原理)
- 【Gbase】建表时候hash分布列的制定方式(DISTRIBUTED BY column_name)
- 苹果Mac如何使用Tuxera NTFS 格式化磁盘?
- 极品抓鸡教程36课笔记
- 离开了公司,你还有什么
- 魅族 系统更新服务器,Flyme
- 怎么画一点透视,两点透视,三点透视
- 微软浏览器如何安装addon(插件)
- 利用51单片机+0.96寸iic接口oled显示图片或动图
- f7功能键使用计算机,【ThinkPad】F1-F12功能键最全使用指南
- 32位与64位系统基本数据类型的字节数
- 采购中心如何高效管理供应商的质量?
- 视频文件头解析--MP4-获取mp4 文件信息
热门文章
- 浮点型数据在内存中是如何存储的
- java resource文件_利用java如何实现读取resource目录下文件
- [转贴]色彩调和的原理
- 阿里双十一数据库技术
- ES6之Symbol详解
- 跨境电商虾皮值不值得做?你了解多少
- linux下怎么玩模拟人生4,《模拟人生4》典藏版晶锥灯在非游戏状态下的使用图文教程...
- 华东师范大学软件工程专硕考研398分复习经验总结
- html5地图定位高德,JS使用高德地图定位
- 华硕服务器 bios 内存 1333 显示 800,华硕主板+宇瞻内存 服务器DIY最佳选择!