最近看到一些有趣的样本.跟大家聊聊其中一个名为“XX下载防踢补丁”的恶意程序.它使用了一些特殊却极为有效策略.使自己可以长期逃脱杀软的检查.其中暴露出来的问题或许更值得我们每一个安全界人士的思考.

感染流程及其行为如下:

  1. 首先其以XX下载功能插件的名义使用户开心去下载并替换XX下载原dll.
  2. 用户放置后发现果然有效果.(真干活,达到用户期望)
  3. 加了数字签名.

效果是:

  1. 用户是有意识要这样做的.并且完成了用户要完成的功能.
  2. 依赖于下载工具.不通过启动项启动.降低了杀软被查阅的可能性
  3. 而且杀软不报毒.

显然这不是一张普通的图片:

看看这张具有签名的照片:

经查证里面有刷广告行为还有一个初见成型的远控框架.

详见这里:迅雷防踢补丁:一个刷流量木马的简单分析.

尴尬-什么是可信的?

该不该信任有数字签名的程序?

可以说:拥有数字签名的程序是可信的.但是这种信任来何方呢.如果只依凭签名证书,这其实是责任转移.

正规程序的擦边行为该不该拦?

一些XX影音XX下载软件弹个广告默认下载个游戏什么的.杀软你敢拦?
公关马上哭着喊着骂你祖宗八辈”恶意打击”,”干涉市场”.
软件漏洞怎么了?最新漏洞又怎么了?你安全厂商能把我怎么着?你帮我补吗?
明智的杀软一般都懒得理那一堆大爷.市场份额大的杀软搞搞软件提交二次验证也就算了.

回到咱们的样本,总结起来其利用了杀软的两大”漏洞”:

  1. 杀软对一些行为不感冒:扎在常(la)用(ji)程序堆里,由常(la)用(ji)软件启动的.
  2. 杀软对有数字签名的程序通常会非常宽容.甚至归为白名单,”偶可是有通关文牒的骏马哟”.

要不是用户反馈电脑太卡偶然被反病毒工程师发现,不知什么时候才能发现这只躲在软件堆里的马.想想不知道还有多少只驴还在翔堆里下崽,就不得不给这个抽脸的样本点个“赞”!

2015年8月15日 晚

致谢

样本来源:

腾讯电脑管家团队

如果您希望看到更多相关文章,请点:

恶意程序新趋势-钻粪坑+数签相关推荐

  1. 数云原力大会汪广盛:2023数据管理的十大新趋势

    5月6日,由国家金融与发展实验室金融科技研究中心学术指导,北京立言金融与发展研究院.神州控股.神州信息.神州数码集团共同主办的2023数云原力大会"数据资产•金融核心竞争力"主题论 ...

  2. 99% 的新移动恶意程序是针对 Android

    安全公司 F-Secure的2014年Q1报告(PDF)显示,新发现的移动恶意程序绝大多数是针对Google 的开源操作系统Android.这很大程度上是因为Android的市场统治地位,以及版本碎片 ...

  3. 阿里云实时数仓Hologres年度发布,解读数仓新趋势

    简介:阿里云实时数仓Hologres年度发布,解读数仓新趋势. 1月7日,阿里云实时数仓Hologres发布最新版本,在成本.可用性.在线高可用等多方面进行了能力升级,行存吞吐提升100%,列存吞吐提 ...

  4. 在Android平台上发现新的恶意程序伪装成杀毒软件挟持设备

    Android平台恶意程序:不支付$100隐私就泄漏]6月25日消息,安全公司赛门铁克发布报告,在Android平台上发现新的恶意程序伪装成杀毒软件挟持设备,消费者支付$100才能让设备正常运作.这些 ...

  5. 网络安全专家发现了一款由微软数字签名的“FiveSys”新恶意程序

    导读 Bitdefender 的网络安全专家近日发现了一款名为"FiveSys"的新恶意程序,它是一个 rootkit,实际上是由微软自己进行数字签名的. FiveSys 恶意驱动 ...

  6. 小程序电商成为新趋势爆红的原因

    微信小程序在电商领域也是势头正猛.那么,小程序为什么能成为电商的新趋势而爆红呢? **1.关注客户的需求,用户体验最佳:**与微信商城相比,小程序的速度更快也更方便.小程序电商时刻关注用户需求,有针对 ...

  7. 美云智数另辟蹊径,SaaS企业和大数据应用发展新趋势

    背景:2017年3月3日,美云智数产品发布会在深圳希尔顿酒店隆重召开,此次发布会以"美云启航 智数未来"为主题,吸引了企业代表.行业专家.媒体等500余人到场参加.会上推出了美云智 ...

  8. 融云艾瑞发布《政企数智办公平台行业研究报告》,解读数智化时代的办公新趋势

    关注公众号文章扫码报名融云&艾瑞"政企数智办公报告及新品发布会" 近期,安全可信的通信云服务商融云,携手业内权威研究机构艾瑞咨询联合发布<2022 年中国政企数智办公 ...

  9. 几个比较新的恶意程序……AntiVir全报,kaspersky保持沉默的时候多

    endurer 原创 2006-12-16 第1版 在线扫描几个从网上下载的恶意程序文件的结果. 文件说明符 : D:/cl.exe属性 : A--- 获取文件版本信息大小失败! 创建时间 : 200 ...

  10. 低代码、无代码?深度解读硅谷新趋势

    今天我们来深入聊聊"低代码.无代码"(Low code, No code). 年初,钉钉公布自己的进化方向:"低代码.无代码工具".大洋彼岸,Low code, ...

最新文章

  1. 计算机考研不压分的学校,考研院校里,这些学校不压分、不歧视专科生,值得关注...
  2. 美媒预测:2021年人工智能的四大趋势
  3. php 进度条百分比算法,实例讲解Ajax实现简单带百分比进度条
  4. Ajax--readyState一直为0
  5. Precision Helper:最佳免费 CHM 制作软件
  6. jdk 安全属性_系统属性的JDK 12 Javadoc标记
  7. Nexus协议,闲鱼一体化开发的幕后玩家
  8. C++ 内存分配 学习笔记
  9. 从零开始学习Sencha Touch MVC应用之三
  10. java线程知识点拾遗(排队CAS)
  11. H3C 100F防火墙限速
  12. 交互设计——超越人机交互
  13. 计算机开机数字键盘解锁,数字键盘怎么解锁
  14. 揪出系统中秘密隐藏的木马(下)
  15. Oracle GL - 使用标准程序获取/创建CCID
  16. python花猫_涨见识了,在终端执行 Python 代码的 6 种方式!
  17. LeGO-LOAM 系列(1): LeGO-LOAM 安装以及概述
  18. 图灵停机问题(The Halting Problem)
  19. 有手机去视频水印的app下载 迅雷下载
  20. android不做手机控,不做手机控app

热门文章

  1. springboot的错误页面配置
  2. BigGAN论文翻译与理解
  3. php eclipse 插件安装,phpeclipse插件下载-phpeclipse插件官方版 v1.2.3 官方最新版 - 安下载...
  4. 古诺(Cournot)竞争博弈模型 matlab仿真代码实现
  5. 静态路由的配置(以华为eNSP为例)
  6. 【C语言程序设计】C语言求圆周率π(三种方法)
  7. 4x4矩阵键盘c语言程序,矩阵键盘C语言程序+电路图
  8. 如何解决您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马...
  9. CreateThread与_beginthread 内存泄漏的本质
  10. Android Patcher应用增量更新(App补丁式更新,无需下载整个apk)