卿烨科技

9人付出病毒感染超2亿电脑!Fireball病毒境外做案被揭破

 

  原标题:名校毕业生研发病毒年获利8000万 2.5亿台电脑感染

  海淀网友协理民警追踪跨境黑客

  高材生开公司研发病毒 一年扭亏8000万 全球2.5亿台总结机受感染

  利用广告插件植入广告盈利,2018年一年获利近8000万元。几名资深大学的毕业生制造网络店铺后,从事病毒软件的付出,其支付出的“Fireball(火球)”病毒引起了外国有名安全实验室的报告。最终,经海淀网友举报,海淀公安局日前捕获这一庞大跨境“黑客”破坏总计机信息连串案。

  “火球”感染2.5亿台微机

  八月3日,海淀分局网安大队接到一名热情海淀网友举报称:其在网上浏览网页时,发现一外国有名安全实验室报告了一起代号为“Fireball(火球)”的轩然大波,同时引出了某中国网络公司经过在海外推广镶嵌了恶意代码的免费软件来达到流量变现。

  公开的素材展现,“火球病毒”已感染全球约2.5亿台电脑。该病毒通过捆绑正常软件传播,中毒计算机的浏览器主页、默认搜索页会被锁定且难以改变。火球病毒感染后会威吓用户浏览器,中毒总括机成为僵尸网络的一片段。与此同时,火球病毒如故一个效用完善的病毒下载器,可以在中毒总计机执行其它代码。其主导职能是控制用户浏览器点击Google、雅虎网站的广告牟利。

  海淀网友帮警方追踪黑客

  由于这名海淀网友是一网络安全集团的技术人士,其在收看外国的天水实验室分析后,结合自己的专业知识,对火球病毒传播途径举行了剖析,并赞助海淀分局网安大队民警对该网络商家拓宽的免费软件举办了样本固定,通过技术手段对样本进行了效用性分析,确定在这个推广的免费软件内存在同样的恶意代码。

  随后,在市局网安总队的领导者下,海淀分局网安大队对涉案网络商家展开了检察,发现该办公地、注册地均在海淀区。海淀分局随后建立了专案组对此案展开考察。专案组民警从病毒程序的运作格局起初,通过模拟系统中毒过程结合实地调研追踪,准确理解嫌疑人制作病毒活动侵入用户电脑,强行修改系统安排,吓唬用户流量,恶意植入广告牟利的犯罪事实。

  通过监测,办案民警及时稳住了所有犯罪行为过程的根本证据,同步摸清了该商家团队架构。二月15日,专案组正式启动收网行动,在该店铺所在地将该犯罪团伙一举捣毁,抓获了以马某、鲍某、莫某为首的11名嫌疑人,嫌疑人对团结的犯罪事实供认不讳。

  高材生开发病毒牟取暴利

  经审查,马某、鲍某、莫某都一贯致力IT行业,其中马某和鲍某更是国内知名高校的高材生,并曾在资深网络商家办事过,并通过工作上的接触而熟习,在闲谈中想到一起付出恶意插件牟利。2015年,几人齐声出资建立一家网络商家,从事病毒软件的开发。

  在合作社中,马某任公司总监,鲍某和莫某分别任集团技术老板和运营经理。记者问询到,2015年终,该店铺支付出“Fireball”恶意软件后,考虑到境内网络安全监管严峻,为了躲避监管,该商厦专门挑选在海外开通账户,然后将该恶意软件捆绑正常软件投放外国软件市场开展传播。

  该恶意软件感染电脑后,可以在事主电脑上实施任意代码,进行窃取凭据、吓唬上网流量等违法犯罪行为。然后,该公司在该恶意软件上植入广告向受害者电脑投放从而牟取暴利,该铺面海外账户仅仅在上年就私自盈利近8000万元人民币。

  近来,马某、鲍某、莫某等9人因涉嫌破坏总括机系统罪已被海淀区检察院认同逮捕,案件还在一发审理中。

  相关情报

  公安局破获全市首例流量威逼案

  利用恶意代码“包装”正常软件,通过植入木马非法获取利益。海淀警察署经过蛛丝马迹追捕嫌疑人。目前,海淀公安局破获香港首例用户流量威胁案件,抓获嫌疑人3名。

  4858美高梅 1

  二零一九年四月28日,海淀分局网安大队接到辖区百度集团检举,称其公司网络流量现身卓殊,网民访问渠道被转移,怀疑被植入恶意代码,造成经济损失约2000万元人民币。

  警察局查明发现,访问hao123网站服务器的地点大多来自一家服务器,往日涉案服务器的铺面曾依据随带的流量向百度集团索取报酬。后经百度公司检查,那么些流量是涉案服务器集团篡改网民访问路径得到的,每趟网民登录hao123网站时都会在不知情的图景下,先经过涉案服务器,然后登录到hao123网站,这种歪曲普通用户访问路径被喻为流量胁迫。

  专案组民警通过近四个月的劳作,最后在顺义、朝阳等地将3名疑凶抓获。如今嫌疑人陈某、张某、贾某等3人因涉嫌破坏总括机信息系统罪被海淀警察局依法采用刑事强制措施,案件仍在越来越审理中。

 

工商新闻

统一社会信用代码

91110106MA0024ML0M

团体单位代码

MA0024ML0

注册号

91110106MA0024ML0M

经纪状态

存续(在营、开业、在册)

所属行业

批发业

树立日期

2015年11月25日

店铺项目

有限责任公司(法人私营)

运营期限

2015年11月25日 – 2045年11月24日

法定代表人

鲍雨法人对外投资

发照日期

2016年08月11日

注册资本

1000万元人民币

注册活动

海淀分局

商店地点

香港市海淀区海淀大街1号8层803室

经营范围

技术推广、技术劳务;经济信息咨询;货物进出口、技术进出口;从事互联网文化活动。(公司依法独立挑选经营项目,开展经营活动;从事互联网文化运动以及依法须经批准的品类,经有关机构许可后依批准的情节开展经营活动;不得从事本市产业政策禁止和限制类项目标经营活动。)

股东音信1

股东类型 股东 认缴出资(金额/时间) 实缴出资(金额/时间)
企业法人 卿烨科技(上海)有限责任公司 1000万元人民币 0万元人民币

 

重大人员3

经理 鲍雨
对外投资及任职
执行董事 鲍雨
对外投资及任职
监事 姜艳
对外投资及任职
   

 

工商变更5

序号 变更日期 变更事项 变更前 变更后
1 2016-08-11 住所 北京市海淀区知春路7号致真大厦C座4层0403室 北京市海淀区海淀大街1号8层803室
2 2016-08-11 注册资本 110万元 1000万元
3 2016-03-09 住所 北京市丰台区南四环西路128号院4号楼12层1515-1516(园区) 北京市海淀区知春路7号致真大厦C座4层0403室
4 2016-03-09 经营范围 技术推广服务;经济信息咨询。依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动。 从事互联网文化活动。技术推广服务;经济信息咨询;货物进出口、技术进出口。企业依法自主选择经营项目,开展经营活动;从事互联网文化活动以及依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动;不得从事本市产业政策禁止和限制类项目的经营活动。
5 2016-03-09 登记管辖变更 丰台分局 海淀分局

 

 

 

工商音信

集合社会信用代码

9131000032460330XT

集体部门代码

32460330X

注册号

310141000130315

主任意况

存续(在营、开业、在册)

所属行业

软件和音信技术服务业

建立日期

2015年2月11日

公司项目

有限责任公司(自然人投资或控股)

运营期限

2015年2月11日 – 2045年2月10日

法定代表人

鲍雨法人对外投资

发照日期

2015年2月11日

注册资本

1737.64万元人民币

登记活动

自贸区市场监察管理局

公司地点

华夏(迪拜)自由贸易试验区富特东一路146号三幢楼一层A区A005室

经营范围

转业电脑科技、互联网科技、生物科技、机械科技领域内的技术开发、技术转让、技术咨询、技术劳务,商务音讯咨询,从事商品及技术的进出口业务。
【依法须经特许的项目,经有关部门批准后能够举办经营活动】

股东音讯7

股东类型 股东 认缴出资(金额/时间) 实缴出资(金额/时间)
合伙企业 共青城睿创投资管理合伙企业(有限合伙)
合伙企业 杭州险峰投资合伙企业(有限合伙)
企业法人 北京雨林天下科技中心(有限合伙)
合伙企业 北京朗基努斯投资中心(有限合伙)
自然人股东 马琳
对外投资及任职
自然人股东 鲍雨
对外投资及任职
合伙企业 北京创新工场创业投资中心(有限合伙)

 

重中之重人士3

执行董事 鲍雨
对外投资及任职
监事 高晓虎
对外投资及任职
经理 鲍雨
对外投资及任职
   

 

工商变更13

序号 变更日期 变更事项 变更前 变更后
1 2017-03-02 章程备案 2016-12-12章程备案 2017-02-21章程备案
2 2017-03-02 监事备案 姜艳 高晓虎
3 2017-01-03 章程修正案备案 2016-10-26章程备案 2016-12-12章程修正案
4 2017-01-03 注册资本(金)变更 1683.340000万人民币 1737.640000万人民币
5 2017-01-03 投资人(股权)变更 北京朗基努斯投资中心(有限合伙);北京雨林天下科技中心(有限合伙);鲍雨;共青城睿创投资管理合伙企业(有限合伙); 北京雨林天下科技中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);鲍雨;北京朗基努斯投资中心(有限合伙);马琳;北京创新工场创业投资中心(有限合伙);杭州险峰投资合伙企业(有限合伙);
6 2016-11-30 投资人(股权)变更 北京雨林无双创业投资中心(有限合伙);北京朗基努斯投资中心(有限合伙);鲍雨;共青城睿创投资管理合伙企业(有限合伙); 鲍雨;北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);北京雨林天下科技中心(有限合伙);
7 2016-11-30 经营范围变更 从事计算机科技、互联网科技领域内的技术开发、技术转让、技术咨询、技术服务,商务信息咨询,投资咨询,投资管理,从事货物及技术的进出口业务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】 从事计算机科技、互联网科技、生物科技、机械科技领域内的技术开发、技术转让、技术咨询、技术服务,商务信息咨询,从事货物及技术的进出口业务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】
8 2016-11-30 章程备案 2015-11-27章程备案 2016-10-26章程备案
9 2015-12-13 投资人(股权)变更 北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);鲍雨; 鲍雨;北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);北京雨林无双创业投资中心(有限合伙);
10 2015-12-13 章程修正案备案 2015-09-08章程备案 2015-11-27章程修正案
11 2015-09-22 投资人(股权)变更 鲍雨;姜艳; 鲍雨;共青城睿创投资管理合伙企业(有限合伙);北京朗基努斯投资中心(有限合伙);
12 2015-09-22 注册资本(金)变更 1010.000000万人民币 1683.340000万人民币
13 2015-09-22 章程备案 2015-09-08章程备案

 

 

 

 

 

 

 

 

火球(Fireball)病毒,是鬼子如临大敌,依然360指鹿为马?

人若无名2017-07-124858美高梅 2共381022人围观 ,发现 15 个不明物体系统安全资讯

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载 

前年六月1日,外国出名的平安厂商Checkpoint公布报告称一个根源中国的黑心软件火球(Fireball)在环球限量内感染了多大2亿5千万台电脑。但唯有两天之后,国内老牌的广元厂商360就发表了另一篇报告“Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌”,称Fireball仅仅是一个很憨厚的“流氓软件”。

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

两家出名的平安厂商对“相同的”病毒发表了一心两样的信息,让作为一个音讯安全爱好者的自我不知所可,到底该相信什么人呢?!
这时候自己记忆了名侦探柯南中的这句台词“真相永远只有一个!”,由此决定亲自来分析下这些病毒。

在Checkpoint的分析报告中共列出了以下8个样本哈希,我们第一尝试从VT中得到那一个样本的信息。

fab40a7bde5250a6bc8644f4d6b9c28f

69ffdf99149d19be7dc1c52f33aaa651

b56d1d35d46630335e03af9add84b488

8c61a6937963507dc87d8bf00385c0bc

7adb7f56e81456f3b421c01ab19b1900

84dcb96bdd84389d4449f13eac750986

2b307e28ce531157611825eb0854c15f

7b2868faa915a7fc6e2d7cc5a965b1e7

列表1. Checkpoint分析报告中付出的样本哈希

4858美高梅 3

图1. VirusTotal上的样本音信

从图1方可看出,样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,因而极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)。对该样本进一步进展音信搜索后在文书涉及(File
Relationship)面板中发觉它已经出现在被交付到VT上的多少个压缩文件之内。

4858美高梅 4

图2.VirusTotal上的公文涉及音信

4206664073b85f5c7a1fb82e3b8e8d3598ef96226a46899fbeaae6a7d7be2457

bc47fe30ba4bf86101b112ce1c5f811994e75353ad9e4d421e60582abdda1254

cd2bdbdfc57e57140412ba57be83da3ff8856107d8ac288ae18df77e2f2f05be

ef1743e67b8c323f2e3e58499cfd699099885fa5ad5d8601cfe0a126be4df556

列表2. 我们从VT上找到的涵盖文件84dcb96bdd84389d4449f13eac750986的范本列表

在列表2中,除了最后一个文本是真的的压缩文件以外,前两个文件都是DLL并且存有相似的文书结构(有且只有一个名为“hkfnrf”的导出函数,在增大数据中设有7Z格式的削减数量)。

4858美高梅 5

图3. 附加数据中的7Z格式的回落数量

一贯利用7-ZIP对DLL文件举行解压缩,发现其间似乎图4所示的文书集合。

4858美高梅 6

图4. 从DLL文件中解压缩出来的公文集合

用十六进制编辑器对那个文件举行查看之后,发现amule_cf这么些文件很有趣,其内容如下。

 

{

       “list”: 

       [

{

                     “app_type”: 1,

                     “app_name”: “ClearLog.dll”,

                     “app_cmd”: “StartClear”

              },

{

                     “app_type” : 1,

                     “app_name”: “Lancer.dll”,

                     “app_cmd”: “Start”

              },

{

                     “app_type”: 0,

4858美高梅,                     “app_name”: “yacqq.exe”,

                     “app_cmd”: “”

              },  

             {

                     “app_type”: 0,

                     “app_name”: “BaofengUpdate_U.exe”,

                     “app_cmd”: “-r”

              },

             {

                     “app_type”: 0,

                     “app_name”: “QQBrowser.exe”,

                     “app_cmd”: “-sileninstal2016”

              },

{

                     “app_type”: 0,

                     “app_name”: “regkey.exe”,

                     “app_cmd”: “”

              },

{

                     “app_type”: 0,

                     “app_name”: “de_svr.exe”,

                     “app_cmd”: “”

              }

       ]

}

 

 

该DLL文件的导出函数“hkfnrf”的代码展现(图5)它会读取并分析配置文件amule_cf的情节并施行相应的先后。同时会造访命令控打败务器的地方http://dmv9o2kt858uv.cloudfront.net/v4/service/%s?action=visit.amuleupdate.%s汇报实施情状。

 

 

 

 

 

 

 

 

 

4858美高梅 7

 

 

 

 

图5. DLL的导出函数“hkfnrf”的一些代码

 

 

 

 

 

 

 

 

对DLL文件中带有的文书集合做了简便易行分析,具体音讯参见表格1、图6、图7、和图8。

 

 

 

 

 

 

 

 

MD5 文件名 文件属性
3944f7dff0914c31f26099deb482b67c amule_cf 数据文件(配置文件)
95b14c3c23e1cb7793a906675ff4f7e2 BaofengUpdate_U.exe 安全文件(暴风影音)
8c61a6937963507dc87d8bf00385c0bc ClearLog.dll 恶意文件(清除杀软检测记录的模块)
84dcb96bdd84389d4449f13eac750986 de_svr.exe 恶意文件
2579df066d38a15be8142954a2633e7f hhhhh.exe 安全文件(SystemInternals工具集中的Handle Viewer)
2b307e28ce531157611825eb0854c15f Lancer.dll 恶意文件(它会从lanceruse.dat中解密出杀软对抗模块并运行)
d5b4e907615a315fe610ba3fe18d15f0 lanceruse.dat 数据文件(解密后的数据包含火球病毒的杀软对抗模块和PC Hunter)
2eee15b1927eadff45013e94b0cb0d94 QQBrowser.exe 安全文件(QQ浏览器)
61af79ff97cbe061a3e55be2ea3a7369 QQBrowserFrame.dll 恶意文件(该文件利用QQBrowser.exe来加载自身—即所谓的“白加黑”技术,解密并执行数据文件tmaker中的恶意代码)
7adb7f56e81456f3b421c01ab19b1900 regkey.exe 恶意文件
4abe1a0120b222ddc59dc702d2664e52 tmaker 数据文件(包含加密的恶意代码)
66e4d7c44d23abf72069e745e6b617ed ttttt.exe 安全文件(Windows系统文件tracelog.exe)
97d5b2bd066ff1bc54cc012c2088416d Update.dll 恶意文件
ca2a6c3b5478e72ce564fbb77b8224e0 yacqq.exe 恶意文件

 

 

 

 

 

 

 

报表1. DLL文件中所包含的文书集合消息

 

 

 

 

 

 

 

 

4858美高梅 8

 

 

 

 

 

 

 

 

图6. 从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

 

 

 

 

 

 

 

 

4858美高梅 9

 

 

 

 

 

 

 

 

图7. 杀软检测记录消除模块ClearLog.dll

 

 

 

 

 

 

 

 

4858美高梅 10

 

 

 

 

 

 

 

 

图8.从数据文件tmaker中解密出来的恶心模块

 

 

 

 

 

 

 

 

至今,真相已经大白。火球(Fireball)不仅使用了病毒常用的“白加黑”(即采纳安全EXE文件加载自己的动态链接库并解密执行恶意代码)技术,而且还接纳著名的PC
Hunter与杀毒软件进行对抗,并且有所杀软检测记录的破除模块,是一个彻头彻尾的恶意软件。

 

 

 

 

 

 

 

 

那么360为何说火球(Fireball)是一个“有灵魂的流氓软件”?由于360的分析报告中平昔不提交任何文件哈希,只可以揣测他们分析了经过火球病毒传播的一个“流氓软件”,而不是火球(Fireball)病毒本身,真是指鹿为马啊!

 

 

 

 

 

 

 

 

火球(Fireball)病毒来自哪儿?

 

 

 

 

 

 

 

 

在图8的Ollydbg截图中,有一个叫“firefox1.com”的域名,先导我觉得它是火狐浏览器官方的域名之一,但是这一个域名的WHOIS信息否定了自身的论断。

 

 

 

 

 

 

 

 

4858美高梅 11

 

 

 

 

 

 

 

 

图9.“firefox1.com”的WHOIS信息

 

 

 

 

 

 

 

 

透过搜寻“baoyu430”,我找到了上面那一个GitHub页面。

 

 

 

 

 

 

 

 

4858美高梅 12

 

 

 

 

 

 

 

 

图10. “baoyu430”的GitHub页面

 

 

 

 

 

 

 

 

Elex?一个似曾相识的名字,百度查寻发现这是一家叫“智明星通”的合作社。Checkpoint在告诉中提出火球(Fireball)病毒来源于一家叫Rafotech(卿烨科技)的中国公司,那么Elex(智明星通)和Rafotech(卿烨科技)之间是否留存某种直接或者直接的关系吧?由于Rafotech 的官方网站已经下线,我们不得而知,但是搜索引擎似乎向我们显露着哪些。

 

 

 

 

 

 

 

 

4858美高梅 13

 

 

 

 

 

 

 

 

图11. 同一个HR为两家公司招聘???

 

 

 

 

 

 

 

 

4858美高梅 14

 

 

 

 

 

 

 

 

图12.
一份“新加坡智明星通科技股份有限集团的当众出让表明书(申报稿)”披露该商厦首席营业官娘对Rafotech(卿烨科技)举办了间接投资

 

 

 

 

 

 

 

 

写在终极:

 

 

 

 

 

 

 

 

若果有此外音讯安全爱好者也对这么些样本感兴趣但又从未订阅VirusTotal的劳动,可以品尝在投机集团的样本库中搜索带有文中提到的导出函数”hkfnrf”的DLL(动态连接库)。

 

 

 

 

 

 

 

 

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载


360商家主动交流了FreeBuf,并针对性此文给出如下回应:

1、
 本文标题定性火球(Fireball)是“病毒”,不过遵照VirusTotal多引擎扫描结果,以本文作者分析的样本为例,绝大多数安全厂商报的都是Adware(广告程序)或Riskware(风险程序),卡巴斯基更是耿直地表明为“not-a-virus”。360把Fireball定义为流氓软件与安全行业的主流意见是如出一辙的。

2、
 文中说“样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,由此极有可能是火球(Fireball)病毒的本来面目安装程序(或者说母体)”,还臆想360解析的是“火球病毒传播的一个‘流氓软件’,因而是‘指鹿为马’”,这么些估摸是一心错误的。

实质上,Checkpoint的告诉是以Deal Wifi举例,360的跟进分析也是从来从Deal
Wifi网站上得到的范本,并不设有其他“母体”。Checkpoint指出的缓解方法是“在控制面板的顺序和效率列表中移除相关应用以卸载广告程序”,与360的解析结论也是均等的,双方在技巧分析上并无区别,只是对损害程度有两样结论。之后微软也揭橥著作认为Fireball的震慑被夸张了。恰恰是本文作者找了另一个相关性较远的顺序去分析,行为完全不同,并不拥有可比性。

3、  即使是作者分析的样书,使用了“白加黑”和采纳PC
Hunter对抗,并且有杀软检测记录的消除模块。这一个对抗技术也曾经被国内流氓软件大规模使用多年,360白城警卫平素在对该类流氓软件举办拦截查杀。也正是因为这一个原因,我们形容Fireball只是“菜鸟级“流氓软件,并表露了国内流氓软件常用的更恶劣的相持技术,详情可参看http://www.freebuf.com/news/136301.html

4、
 关于本文最终强调应用域名的whois新闻为线索查找有关样本,360也曾经公布过有关技术分析:http://weibo.com/ttarticle/p/show?id=2309404115977217392142,从样本行为和全网数据监测角度更是披露Fireball在国内的流传意况。通过网络规模数据监测,国内总感染量为10万量级,与Checkpoint宣布的大千世界2.5亿感染量相相比较仅有很是之四。360平安警卫用户越来越全然不受此流氓软件影响。

4858美高梅 15

人若无名1 篇著作等级: 1级

 

|

|

这么些评价亮了

  • 4858美高梅 16

    p回复

    几百人中招的王者体系敲诈者被某数字炒得飞起
    几百万人中招的暗云序列被某数字接纳低调对待,后台默默帮用户修复
    同等,不是和谐首发声的全体恶意程序都是人畜无害的,只假如协调先发声的,都会被炒成致命性的

    )43(亮了

  • 4858美高梅 17

    人若无名(1级)回复

    @ softbug  

    1. 可以按照配置文件静默执行捆绑在增大数据中的流氓软件,在VirusTotal
      英特尔ligence中查找“exports:hkfnrf”可以找到大量像样文件,配置文件和捆绑的文书都各不相同。
      2.下载并执行此外程序(参见图8)。
      3.
      出于这是DLL(动态链接库并无法实施自己或者被双击执行),表明还不是最原始的母体样本,但只可是对抗杀毒软件和解除检测记录也丰盛表明它是恶意文件了。

    )20(亮了

  • 4858美高梅 18

    炒冷饭回复

    @ 人若无名
    你对恶意代码分类看来并不打听,判断一种恶意代码是何许分类应该是依照其具体的行事和目标,而不是臆度。简单地说就是您看要它做了什么样,而不是认为它会做哪些。下载执行、对抗杀软和清理痕迹甚至放出驱动这类行为并不可以用来判断一种恶意代码的实际分类,假若它说到底目标如故安装任何推广程序、锁定主页或者威迫流量,这就是流氓软件;假设是用来下一步更多恶意程序,这就属于downloader。

    )10(亮了

  • 4858美高梅 19

    人若无名(1级)回复

    @ 炒冷饭 那么声名远播的zeroaccess的恶心载荷是fraudulent
    click,遵照你的知晓是否也只有是“流氓软件”而不是病毒呢?

    )10(亮了

  • 4858美高梅 20

    hehe回复

    360光棍卫士用户更加全然不受此流氓软件影响

    )8(亮了

刊登评论

已有 15 条评论

  • 4858美高梅 21

    p 2017-07-12回复1楼

     

    几百人中招的王者连串敲诈者被某数字炒得飞起
    几百万人中招的暗云系列被某数字选拔低调对待,后台默默帮用户修复
    同等,不是团结首发声的满贯恶意程序都是人畜无害的,只假诺自己首发声的,都会被炒成致命性的

    亮了(43)

     

    • 4858美高梅 22

      360-wuchi 2017-07-12回复

       

      @ p
      自家保证,他说的话是不错的。

      亮了(2)

       

  • 4858美高梅 23

    Onlyone (1级) 2017-07-12回复2楼

     

    境内的条件真是越来越差了!

    亮了(2)

     

  • 4858美高梅 24

    softbug 4858美高梅 254858美高梅 26(7级)011101000110100001100001011011… 2017-07-12回复3楼

     

    本条恶意病毒的诉求或者说想达到的目标是什么,作者好像没有涉及。

    亮了(3)

     

    • 4858美高梅 27

      人若无名 (1级) 2017-07-12回复

       

      @ softbug 
      1.
      得以遵照配置文件静默执行捆绑在增大数据中的流氓软件,在VirusTotal
      AMDligence中找寻“exports:hkfnrf”可以找到大量近似文件,配置文件和捆绑的文书都各不相同。
      2.下载并推行其它程序(参见图8)。
      3.
      出于这是DLL(动态链接库并不可以实施自己或者被双击执行),表达还不是最原始的母体样本,但只然则对抗杀毒软件和清除检测记录也丰裕表明它是恶意文件了。

      亮了(20)

       

  • 4858美高梅 28

    炒冷饭 2017-07-12回复4楼

     

    @ 人若无名
    你对恶意代码分类看来并不打听,判断一种恶意代码是什么分类应该是基于其实际的行为和目标,而不是怀疑。简单地说就是您看要它做了怎么,而不是认为它会做什么样。下载执行、对抗杀软和清理痕迹甚至放出驱动这类行为并不可以用来判断一种恶意代码的具体分类,假如它最后目标或者安装任何推广程序、锁定主页或者胁制流量,这就是流氓软件;如果是用来下一步更多恶意程序,这就属于downloader。

    亮了(10)

     

    • 4858美高梅 29

      人若无名 (1级) 2017-07-12回复

       

      @ 炒冷饭 那么显赫的zeroaccess的黑心载荷是fraudulent
      click,遵照你的精通是否也单独是“流氓软件”而不是病毒呢?

      亮了(10)

       

      • 4858美高梅 30

        炒冷饭 2017-07-12回复

         

        @ 人若无名 
        啧啧,您不要混淆视听好吧,zeroaccess的黑心载荷只有这一种?传播其他恶意程序、botnet等等你都不提吗?

        亮了(6)

         

  • 4858美高梅 31

    指鹿为马 2017-07-12回复5楼

     

    http://weibo.com/ttarticle/p/show?id=2309404115977217392142

    亮了(3)

     

  • 4858美高梅 32

    欧阳洋葱 4858美高梅 33(7级)专业从事飞碟修理,飞碟引擎、碟面、舱体维修均受理,详情请私信… 2017-07-12回复6楼

     

    https://blogs.technet.microsoft.com/mmpc/2017/06/22/understanding-the-true-size-of-fireball/

    亮了(5)

     

  • 4858美高梅 34

    hehe 2017-07-12回复7楼

     

    360光棍卫士用户越来越全盘不受此流氓软件影响

    亮了(8)

     

  • 4858美高梅 35

    河蟹 2017-07-12回复8楼

     

    http://www.4hou.com/web/5797.html

    亮了(4)

     

  • 4858美高梅 36

    小蓝毅 2017-07-13回复9楼

     

    笔者总想搞个大信息

    亮了(4)

     

  • 4858美高梅 37

    黑客接单 (1级)黑客接单QQ839129246 2017-07-13回复10楼

     

    作者总想搞个大音信

    亮了(2)

     

  • 4858美高梅 38

    hackbs (2级) 2017-07-27回复11楼

     

    这就是不加加密壳反调试的结果

    亮了(0)

 

 

 

 

 

 

 

 

相关文章