生物科技卿烨科技

9人支付病毒感染超2亿电脑!Fireball病毒境外做案被揭破

 

  原标题:名校毕业生研发病毒年获利8000万 2.5亿台电脑感染

  海淀网友匡助民警追踪跨境黑客

  高材生开公司研发病毒 一年扭亏8000万 全球2.5亿台总结机受感染

  利用广告插件植入广告盈利,二零一八年一年获利近8000万元。几名出名高校的毕业生创立网络店铺后,从事病毒软件的开销,其开发出的“Fireball(火球)”病毒引起了外国资深安全实验室的告知。最后,经海淀网友举报,海淀派出所日前抓获这一庞然大物跨境“黑客”破坏统计机音信序列案。

  “火球”感染2.5亿台统计机

  五月3日,海淀分局网安大队接受一名热情海淀网友举报称:其在网上浏览网页时,发现一外国著名安全实验室报告了联合代号为“Fireball(火球)”的轩然大波,同时引出了某中国网络公司由此在海外推广镶嵌了恶意代码的免费软件来达成流量变现。

  公开的资料显示,“火球病毒”已感染全球约2.5亿台微机。该病毒通过捆绑正常软件传播,中毒统计机的浏览器主页、默认搜索页会被锁定且难以改变。火球病毒感染后会威迫用户浏览器,中毒总结机成为僵尸网络的一有些。与此同时,火球病毒仍然一个效率完善的病毒下载器,可以在中毒统计机执行此外代码。其基本效率是决定用户浏览器点击Google、雅虎网站的广告牟利。

  海淀网友帮警方追踪黑客

  由于这名海淀网友是一网络安全公司的技术人士,其在观察外国的安全实验室分析后,结合自己的专业知识,对火球病毒传播途径举办通晓析,并拉扯海淀分局网安大队民警对该网络店铺加大的免费软件举行了范本固定,通过技术手段对样本举办了效用性分析,确定在那多少个推广的免费软件内设有同样的恶意代码。

  随后,在市局网安总队的管理者下,海淀分局网安大队对涉案网络商家拓展了调查,发现该办公地、注册地均在海淀区。海淀分局随着创制了专案组对该案进展查证。专案组民警从病毒程序的运作模式起头,通过模拟系统中毒过程结合实地踏勘追踪,准确精通嫌疑人制作病毒活动侵入用户电脑,强行修改系统部署,威吓用户流量,恶意植入广告牟利的犯罪事实。

  通过监测,办案民警立时稳住了全部犯罪行为过程的紧要性证据,同步摸清了该商厦团队架构。9月15日,专案组正式启动收网行动,在该商家所在地将该犯罪团伙一举捣毁,抓获了以马某、鲍某、莫某为首的11名嫌疑人,嫌疑人对团结的犯罪事实供认不讳。

  高材生开发病毒牟取暴利

  经审查,马某、鲍某、莫某都一向致力IT行业,其中马某和鲍某更是国内赫赫出名大学的得意门生,并曾在知名网络商家做事过,并通过工作上的触及而熟谙,在闲谈中想到一起付出恶意插件牟利。2015年,几人联名出资创立一家网络商家,从事病毒软件的付出。

  在店堂中,马某任集团首席营业官,鲍某和莫某分别任公司技术总经理和营业主管。记者打探到,2015年初,该铺面开发出“Fireball”恶意软件后,考虑到国内网络安全监管严俊,为了避让监管,该公司专门采用在外国开通账户,然后将该恶意软件捆绑正常软件投放外国软件市场拓展传播。

  该恶意软件感染电脑后,能够在被害人电脑上推行任意代码,举办窃取凭据、吓唬上网流量等作案犯罪行为。然后,该铺面在该恶意软件上植入广告向被害人电脑投放从而牟取暴利,该商家海外账户仅仅在上年就私自盈利近8000万元人民币。

  目前,马某、鲍某、莫某等9人因涉嫌破坏总计机系统罪已被海淀区检察院特许逮捕,案件还在越来越审理中。

  相关音信

  派出所擒获全市首例流量恫吓案

  利用恶意代码“包装”正常软件,通过植入木马非法取得利益。海淀警察局经过蛛丝马迹追捕嫌疑人。最近,海淀派出所擒获新加坡首例用户流量威迫案件,抓获嫌疑人3名。

  生物科技 1

  二〇一九年10月28日,海淀分局网安大队接到辖区百度公司揭破,称其集团网络流量出现非常,网民访问渠道被改成,怀疑被植入恶意代码,造成经济损失约2000万元人民币。

  派出所查证发现,访问hao123网站服务器的地方大多来自一家服务器,在此以前涉案服务器的商家曾按照随带的流量向百度公司索取报酬。后经百度集团检查,这一个流量是涉案服务器公司篡改网民访问路径拿到的,每一遍网民登录hao123网站时都会在不知情的景色下,先通过涉案服务器,然后登录到hao123网站,这种歪曲普通用户访问路径被叫作流量胁制。

  专案组民警通过近两个月的办事,最终在顺义、朝阳等地将3名嫌疑人抓获。方今嫌疑人陈某、张某、贾某等3人因涉嫌破坏总结机消息系统罪被海淀警察局依法行使刑事强制措施,案件仍在一发审理中。

 

工商信息

集合社会信用代码

91110106MA0024ML0M

协会机关代码

MA0024ML0

注册号

91110106MA0024ML0M

经营情状

存续(在营、开业、在册)

所属行业

批发业

确立日期

2015年11月25日

商厦项目

有限责任集团(法人独资)

运营期限

2015年11月25日 – 2045年11月24日

法定代表人

鲍雨责任人对外投资

发照日期

2016年08月11日

注册资本

1000万元人民币

挂号机关

海淀分局

商厦地方

迪拜市海淀区海淀大街1号8层803室

经营范围

技术推广、技术劳务;经济音讯咨询;货物进出口、技术进出口;从事互联网文化活动。(集团依法独立接纳经营项目,开展经营活动;从事互联网文化活动以及依法须经特许的花色,经相关单位认可后依批准的始末展开经纪活动;不得从事本市产业政策禁止和限制类品种的经纪活动。)

股东音讯1

股东类型 股东 认缴出资(金额/时间) 实缴出资(金额/时间)
企业法人 卿烨科技(上海)有限责任公司 1000万元人民币 0万元人民币

 

重大人士3

经理 鲍雨
对外投资及任职
执行董事 鲍雨
对外投资及任职
监事 姜艳
对外投资及任职
   

 

工商变更5

序号 变更日期 变更事项 变更前 变更后
1 2016-08-11 住所 北京市海淀区知春路7号致真大厦C座4层0403室 北京市海淀区海淀大街1号8层803室
2 2016-08-11 注册资本 110万元 1000万元
3 2016-03-09 住所 北京市丰台区南四环西路128号院4号楼12层1515-1516(园区) 北京市海淀区知春路7号致真大厦C座4层0403室
4 2016-03-09 经营范围 技术推广服务;经济信息咨询。依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动。 从事互联网文化活动。技术推广服务;经济信息咨询;货物进出口、技术进出口。企业依法自主选择经营项目,开展经营活动;从事互联网文化活动以及依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动;不得从事本市产业政策禁止和限制类项目的经营活动。
5 2016-03-09 登记管辖变更 丰台分局 海淀分局

 

 

 

工商音信

集合社会信用代码

9131000032460330XT

集体机关代码

32460330X

注册号

310141000130315

经营状况

存续(在营、开业、在册)

所属行业

软件和新闻技术服务业

建立日期

2015年2月11日

集团项目

有限责任集团(自然人投资或控股)

营业期限

2015年2月11日 – 2045年2月10日

法定代表人

鲍雨法人对外投资

发照日期

2015年2月11日

注册资本

1737.64万元人民币

登记活动

自贸区市场监察管理局

公司地方

中原(日本东京)自由贸易试验区富特东一路146号三幢楼一层A区A005室

经营范围

转业总结机科技、互联网科技、生物科技、机械科技领域内的技术开发、技术转让、技术咨询、技术服务,商务信息咨询,从事货物及技术的进出口业务。
【依法须经批准的花色,经相关单位获准后方可举行经纪活动】

股东新闻7

股东类型 股东 认缴出资(金额/时间) 实缴出资(金额/时间)
合伙企业 共青城睿创投资管理合伙企业(有限合伙)
合伙企业 杭州险峰投资合伙企业(有限合伙)
企业法人 北京雨林天下科技中心(有限合伙)
合伙企业 北京朗基努斯投资中心(有限合伙)
自然人股东 马琳
对外投资及任职
自然人股东 鲍雨
对外投资及任职
合伙企业 北京创新工场创业投资中心(有限合伙)

 

最紧要人员3

执行董事 鲍雨
对外投资及任职
监事 高晓虎
对外投资及任职
经理 鲍雨
对外投资及任职
   

 

工商变更13

序号 变更日期 变更事项 变更前 变更后
1 2017-03-02 章程备案 2016-12-12章程备案 2017-02-21章程备案
2 2017-03-02 监事备案 姜艳 高晓虎
3 2017-01-03 章程修正案备案 2016-10-26章程备案 2016-12-12章程修正案
4 2017-01-03 注册资本(金)变更 1683.340000万人民币 1737.640000万人民币
5 2017-01-03 投资人(股权)变更 北京朗基努斯投资中心(有限合伙);北京雨林天下科技中心(有限合伙);鲍雨;共青城睿创投资管理合伙企业(有限合伙); 北京雨林天下科技中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);鲍雨;北京朗基努斯投资中心(有限合伙);马琳;北京创新工场创业投资中心(有限合伙);杭州险峰投资合伙企业(有限合伙);
6 2016-11-30 投资人(股权)变更 北京雨林无双创业投资中心(有限合伙);北京朗基努斯投资中心(有限合伙);鲍雨;共青城睿创投资管理合伙企业(有限合伙); 鲍雨;北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);北京雨林天下科技中心(有限合伙);
7 2016-11-30 经营范围变更 从事计算机科技、互联网科技领域内的技术开发、技术转让、技术咨询、技术服务,商务信息咨询,投资咨询,投资管理,从事货物及技术的进出口业务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】 从事计算机科技、互联网科技、生物科技、机械科技领域内的技术开发、技术转让、技术咨询、技术服务,商务信息咨询,从事货物及技术的进出口业务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】
8 2016-11-30 章程备案 2015-11-27章程备案 2016-10-26章程备案
9 2015-12-13 投资人(股权)变更 北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);鲍雨; 鲍雨;北京朗基努斯投资中心(有限合伙);共青城睿创投资管理合伙企业(有限合伙);北京雨林无双创业投资中心(有限合伙);
10 2015-12-13 章程修正案备案 2015-09-08章程备案 2015-11-27章程修正案
11 2015-09-22 投资人(股权)变更 鲍雨;姜艳; 鲍雨;共青城睿创投资管理合伙企业(有限合伙);北京朗基努斯投资中心(有限合伙);
12 2015-09-22 注册资本(金)变更 1010.000000万人民币 1683.340000万人民币
13 2015-09-22 章程备案 2015-09-08章程备案

 

 

 

 

 

 

 

 

火球(Fireball)病毒,是鬼子如临大敌,依然360指鹿为马?

人若无名2017-07-12生物科技 2共381022人围观 ,发现 15 个不明物体系统安全资讯

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载 

二〇一七年十一月1日,外国出名的安全厂商Checkpoint公布报告称一个出自中国的恶意软件火球(Fireball)在世上限量内感染了多大2亿5千万台总结机。但然则两天将来,国内老牌的平安厂商360就发布了另一篇报告“Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌”,称Fireball仅仅是一个很憨厚的“流氓软件”。

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

两家有名的金昌厂商对“相同的”病毒公布了完全两样的信息,让作为一个信息安全爱好者的自身不知道该怎么做,到底该相信什么人啊?!
这时候自己记念了名侦探柯南中的这句台词“真相永远只有一个!”,由此决定亲自来分析下那个病毒。

在Checkpoint的分析报告中共列出了以下8个样本哈希,我们第一尝试从VT中获得那些样本的消息。

fab40a7bde5250a6bc8644f4d6b9c28f

69ffdf99149d19be7dc1c52f33aaa651

b56d1d35d46630335e03af9add84b488

8c61a6937963507dc87d8bf00385c0bc

7adb7f56e81456f3b421c01ab19b1900

84dcb96bdd84389d4449f13eac750986

2b307e28ce531157611825eb0854c15f

7b2868faa915a7fc6e2d7cc5a965b1e7

列表1. Checkpoint分析报告中提交的样本哈希

生物科技 3

图1. VirusTotal上的样本信息

从图1方可看出,样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,由此极有可能是火球(Fireball)病毒的原始安装程序(或者说母体)。对该样本进一步拓展信息搜索后在文书涉及(File
Relationship)面板中发觉它已经出现在被交付到VT上的多少个压缩文件之内。

生物科技 4

图2.VirusTotal上的公文涉及音信

4206664073b85f5c7a1fb82e3b8e8d3598ef96226a46899fbeaae6a7d7be2457

bc47fe30ba4bf86101b112ce1c5f811994e75353ad9e4d421e60582abdda1254

cd2bdbdfc57e57140412ba57be83da3ff8856107d8ac288ae18df77e2f2f05be

ef1743e67b8c323f2e3e58499cfd699099885fa5ad5d8601cfe0a126be4df556

列表2. 我们从VT上找到的涵盖文件84dcb96bdd84389d4449f13eac750986的范本列表

在列表2中,除了最终一个文本是实在的压缩文件以外,前几个文件都是DLL并且存有相似的文书结构(有且只有一个名为“hkfnrf”的导出函数,在附加数据中存在7Z格式的滑坡数量)。

生物科技 5

图3. 附加数据中的7Z格式的收缩数量

直白接纳7-ZIP对DLL文件举办解压缩,发现里头似乎图4所示的文本集合。

生物科技 6

图4. 从DLL文件中解压缩出来的文件集合

用十六进制编辑器对这么些文件举行查看之后,发现amule_cf这些文件很有意思,其情节如下。

 

{

       “list”: 

       [

{

                     “app_type”: 1,

                     “app_name”: “ClearLog.dll”,

                     “app_cmd”: “StartClear”

              },

{

                     “app_type” : 1,

                     “app_name”: “Lancer.dll”,

                     “app_cmd”: “Start”

              },

{

                     “app_type”: 0,

                     “app_name”: “yacqq.exe”,

                     “app_cmd”: “”

              },  

             {

                     “app_type”: 0,

                     “app_name”: “BaofengUpdate_U.exe”,

                     “app_cmd”: “-r”

              },

             {

                     “app_type”: 0,

                     “app_name”: “QQBrowser.exe”,

                     “app_cmd”: “-sileninstal2016”

              },

{

                     “app_type”: 0,

                     “app_name”: “regkey.exe”,

                     “app_cmd”: “”

              },

{

                     “app_type”: 0,

                     “app_name”: “de_svr.exe”,

                     “app_cmd”: “”

              }

       ]

}

 

 

该DLL文件的导出函数“hkfnrf”的代码展现(图5)它会读取并分析配置文件amule_cf的始末并实施相应的次序。同时会访问命令控打败务器的地址http://dmv9o2kt858uv.cloudfront.net/v4/service/%s?action=visit.amuleupdate.%s申报执行境况。

 

 

 

 

 

 

 

 

 

生物科技 7

 

 

 

 

图5. DLL的导出函数“hkfnrf”的部分代码

 

 

 

 

 

 

 

 

对DLL文件中含有的文本集合做了简便分析,具体新闻参见表格1、图6、图7、和图8。

 

 

 

 

 

 

 

 

MD5 文件名 文件属性
3944f7dff0914c31f26099deb482b67c amule_cf 数据文件(配置文件)
95b14c3c23e1cb7793a906675ff4f7e2 BaofengUpdate_U.exe 安全文件(暴风影音)
8c61a6937963507dc87d8bf00385c0bc ClearLog.dll 恶意文件(清除杀软检测记录的模块)
84dcb96bdd84389d4449f13eac750986 de_svr.exe 恶意文件
2579df066d38a15be8142954a2633e7f hhhhh.exe 安全文件(SystemInternals工具集中的Handle Viewer)
2b307e28ce531157611825eb0854c15f Lancer.dll 恶意文件(它会从lanceruse.dat中解密出杀软对抗模块并运行)
d5b4e907615a315fe610ba3fe18d15f0 lanceruse.dat 数据文件(解密后的数据包含火球病毒的杀软对抗模块和PC Hunter)
2eee15b1927eadff45013e94b0cb0d94 QQBrowser.exe 安全文件(QQ浏览器)
61af79ff97cbe061a3e55be2ea3a7369 QQBrowserFrame.dll 恶意文件(该文件利用QQBrowser.exe来加载自身—即所谓的“白加黑”技术,解密并执行数据文件tmaker中的恶意代码)
7adb7f56e81456f3b421c01ab19b1900 regkey.exe 恶意文件
4abe1a0120b222ddc59dc702d2664e52 tmaker 数据文件(包含加密的恶意代码)
66e4d7c44d23abf72069e745e6b617ed ttttt.exe 安全文件(Windows系统文件tracelog.exe)
97d5b2bd066ff1bc54cc012c2088416d Update.dll 恶意文件
ca2a6c3b5478e72ce564fbb77b8224e0 yacqq.exe 恶意文件

 

 

 

 

 

 

 

报表1. DLL文书中所包含的文本集合消息

 

 

 

 

 

 

 

 

生物科技 8

 

 

 

 

 

 

 

 

图6. 从数据文件lanceruse.dat中解密出来的杀软对抗模块Micr.DLL

 

 

 

 

 

 

 

 

生物科技 9

 

 

 

 

 

 

 

 

图7. 杀软检测记录消除模块ClearLog.dll

 

 

 

 

 

 

 

 

生物科技 10

 

 

 

 

 

 

 

 

图8.从数据文件tmaker中解密出来的恶心模块

 

 

 

 

 

 

 

 

至今,真相已经大白。火球(Fireball)不仅使用了病毒常用的“白加黑”(即选用安全EXE文件加载自己的动态链接库并解密执行恶意代码)技术,而且还接纳出名的PC
Hunter与杀毒软件举办对抗,并且具有杀软检测记录的破除模块,是一个彻头彻尾的恶意软件。

 

 

 

 

 

 

 

 

那么360为什么说火球(Fireball)是一个“有良知的流氓软件”?由于360的分析报告中绝非交给任何公文哈希,只可以揣度他们分析了经过火球病毒传播的一个“流氓软件”,而不是火球(Fireball)病毒本身,真是指鹿为马啊!

 

 

 

 

 

 

 

 

火球(Fireball)病毒来自啥地方?

 

 

 

 

 

 

 

 

在图8的Ollydbg截图中,有一个叫“firefox1.com”的域名,起初我认为它是火狐浏览器官方的域名之一,然则这一个域名的WHOIS音信否定了本人的判定。

 

 

 

 

 

 

 

 

生物科技 11

 

 

 

 

 

 

 

 

图9.“firefox1.com”的WHOIS信息

 

 

 

 

 

 

 

 

通过寻找“baoyu430”,我找到了下边这些GitHub页面。

 

 

 

 

 

 

 

 

生物科技 12

 

 

 

 

 

 

 

 

图10. “baoyu430”的GitHub页面

 

 

 

 

 

 

 

 

Elex?一个似曾相识的名字,百度搜索发现这是一家叫“智明星通”的店家。Checkpoint在报告中提议火球(Fireball)病毒来源于一家叫Rafotech(卿烨科技)的中国公司,那么Elex(智明星通)和Rafotech(卿烨科技)之间是否留存某种直接或者直接的涉嫌吗?由于Rafotech 的官方网站已经下线,咱们不得而知,可是搜索引擎似乎向我们表露着咋样。

 

 

 

 

 

 

 

 

生物科技 13

 

 

 

 

 

 

 

 

图11. 同一个HR为两家集团招聘???

 

 

 

 

 

 

 

 

生物科技 14

 

 

 

 

 

 

 

 

图12.
一份“新加坡智明星通科技股份有限集团的当众出让表达书(申报稿)”披露该商厦老董对Rafotech(卿烨科技)举行了直接投资

 

 

 

 

 

 

 

 

写在终极:

 

 

 

 

 

 

 

 

一旦有另外消息安全爱好者也对那个样本感兴趣但又不曾订阅VirusTotal的劳动,可以尝尝在大团结集团的样本库中找找带有文中涉及的导出函数”hkfnrf”的DLL(动态连接库)。

 

 

 

 

 

 

 

 

* 本文作者:人若无名,本文属FreeBuf原创奖励计划,未经许可禁止转载


360商家积极联系了FreeBuf,并对准此文给出如下回应:

1、
 本文标题定性火球(Fireball)是“病毒”,不过依照VirusTotal多引擎扫描结果,以本文作者分析的样书为例,绝大多数安全厂商报的都是Adware(广告程序)或Riskware(风险程序),卡巴斯基更是耿直地注明为“not-a-virus”。360把Fireball定义为流氓软件与安全行业的主流看法是千篇一律的。

2、
 文中说“样本84dcb96bdd84389d4449f13eac750986的文件尺寸最大,由此极有可能是火球(Fireball)病毒的原本安装程序(或者说母体)”,还揣摸360剖析的是“火球病毒传播的一个‘流氓软件’,因而是‘指鹿为马’”,这一个估摸是一心错误的。

实则,Checkpoint的告知是以Deal Wifi举例,360的跟进分析也是直接从Deal
Wifi网站上得到的样本,并不设有任何“母体”。Checkpoint指出的化解方法是“在控制面板的主次和效能列表中移除相关应用以卸载广告程序”,与360的解析结论也是平等的,双方在技巧分析上并无区别,只是对妨害程度有不同结论。之后微软也发布作品认为Fireball的熏陶被夸张了。恰恰是本文作者找了另一个相关性较远的次序去分析,行为完全两样,并不持有可比性。

3、  即使是笔者分析的样书,使用了“白加黑”和行使PC
Hunter对抗,并且有杀软检测记录的解除模块。这个对抗技术也早就被国内流氓软件大规模使用多年,360安全警卫平素在对该类流氓软件举办阻挠查杀。也多亏因为这一个原因,我们形容Fireball只是“菜鸟级“流氓软件,并显露了国内流氓软件常用的更恶劣的胶着技术,详情可参照http://www.freebuf.com/news/136301.html

4、
 关于本文最终强调应用域名的whois音讯为线索查找有关样本,360也早就公布过有关技术分析:http://weibo.com/ttarticle/p/show?id=2309404115977217392142,从样本行为和全网数据监测角度更是披露Fireball在境内的散播情状。通过网络范围数据监测,国内总感染量为10万量级,与Checkpoint发表的天下2.5亿感染量相相比较仅有分外之四。360安全警卫用户更加全然不受此流氓软件影响。

生物科技 15

人若无名1 篇随笔等级: 1级

 

|

|

这个评价亮了

  • 生物科技 16

    p回复

    几百人中招的王者系列敲诈者被某数字炒得飞起
    几百万人中招的暗云体系被某数字拔取低调对待,后台默默帮用户修复
    一致,不是友好先发声的所有恶意程序都是人畜无害的,只如若投机首发声的,都会被炒成致命性的

    )43(亮了

  • 生物科技 17

    人若无名(1级)回复

    @ softbug  

    1. 可以遵照配置文件静默执行捆绑在叠加数据中的流氓软件,在VirusTotal
      英特尔ligence中找寻“exports:hkfnrf”可以找到大量像样文件,配置文件和捆绑的文书都各不相同。
      2.下载并执行另外程序(参见图8)。
      3.
      出于这是DLL(动态链接库并不可能实施自己还是被双击执行),表达还不是最原始的母体样本,但只不过对抗杀毒软件和清除检测记录也充裕表明它是恶意文件了。

    )20(亮了

  • 生物科技 18

    炒冷饭回复

    @ 人若无名
    你对恶意代码分类看来并不明白,判断一种恶意代码是哪些分类应该是基于其实际的行事和目的,而不是臆度。简单地说就是你看要它做了怎么样,而不是觉得它会做什么样。下载执行、对抗杀软和清理痕迹甚至放出驱动那类行为并无法用来判定一种恶意代码的有血有肉分类,虽然它最后目标或者安装任何推广程序、锁定主页或者胁迫流量,这就是流氓软件;假设是用来下一步更多恶意程序,这就属于downloader。

    )10(亮了

  • 生物科技 19

    人若无名(1级)回复

    @ 炒冷饭 那么声名远播的zeroaccess的恶心载荷是fraudulent
    click,依据你的知晓是否也只有是“流氓软件”而不是病毒呢?

    )10(亮了

  • 生物科技 20

    hehe回复

    360光棍卫士用户更加全盘不受此流氓软件影响

    )8(亮了

刊登评论

已有 15 条评论

  • 生物科技 21

    p 2017-07-12回复1楼

     

    几百人中招的王者体系敲诈者被某数字炒得飞起
    几百万人中招的暗云类别被某数字拔取低调对待,后台默默帮用户修复
    如出一辙,不是协调首发声的一切恶意程序都是人畜无害的,只倘诺友好首发声的,都会被炒成致命性的

    亮了(43)

     

    • 生物科技 22

      360-wuchi 2017-07-12回复

       

      @ p
      本身保管,他说的话是毋庸置疑的。

      亮了(2)

       

  • 生物科技 23

    Onlyone (1级) 2017-07-12回复2楼

     

    国内的条件真是越来越差了!

    亮了(2)

     

  • 生物科技 24

    softbug 生物科技 25生物科技 26(7级)011101000110100001100001011011… 2017-07-12回复3楼

     

    本条恶意病毒的诉求或者说想达到的目标是何等,作者好像一直不涉嫌。

    亮了(3)

     

    • 生物科技 27

      人若无名 (1级) 2017-07-12回复

       

      @ softbug 
      1.
      得以遵照安排文件静默执行捆绑在附加数据中的流氓软件,在VirusTotal
      Intelligence中找找“exports:hkfnrf”可以找到大量类似文件,配置文件和捆绑的文件都各不相同。
      2.下载并实施其余程序(参见图8)。
      3.
      由于这是DLL(动态链接库并不可能进行自己或者被双击执行),表明还不是最原始的母体样本,但只可是对抗杀毒软件和消除检测记录也充裕表达它是黑心文件了。

      亮了(20)

       

  • 生物科技 28

    炒冷饭 2017-07-12回复4楼

     

    @ 人若无名
    你对恶意代码分类看来并不掌握,判断一种恶意代码是何许分类应该是遵照其实际的一言一行和目的,而不是揣度。简单地说就是你看要它做了哪些,而不是觉得它会做什么样。下载执行、对抗杀软和清理痕迹甚至放出驱动这类行为并不可以用来判定一种恶意代码的实际分类,如果它最后目的或者安装任何推广程序、锁定主页或者恫吓流量,这就是流氓软件;假即使用来下一步更多恶意程序,这就属于downloader。

    亮了(10)

     

    • 生物科技 29

      人若无名 (1级) 2017-07-12回复

       

      @ 炒冷饭 那么知名的zeroaccess的黑心载荷是fraudulent
      click,依据你的知情是否也仅仅是“流氓软件”而不是病毒呢?

      亮了(10)

       

      • 生物科技 30

        炒冷饭 2017-07-12回复

         

        @ 人若无名 
        啧啧,您不用混淆视听好吗,zeroaccess的恶心载荷只有这一种?传播其他恶意程序、botnet等等你都不提吗?

        亮了(6)

         

  • 生物科技 31

    指鹿为马 2017-07-12回复5楼

     

    http://weibo.com/ttarticle/p/show?id=2309404115977217392142

    亮了(3)

     

  • 生物科技 32

    欧阳洋葱 生物科技 33(7级)专业从事飞碟修理,飞碟引擎、碟面、舱体维修均受理,详情请私信… 2017-07-12回复6楼

     

    https://blogs.technet.microsoft.com/mmpc/2017/06/22/understanding-the-true-size-of-fireball/

    亮了(5)

     

  • 生物科技 34

    hehe 2017-07-12回复7楼

     

    360光棍卫士用户越来越全盘不受此流氓软件影响

    亮了(8)

     

  • 生物科技 35

    河蟹 2017-07-12回复8楼

     

    http://www.4hou.com/web/5797.html

    亮了(4)

     

  • 生物科技 36

    小蓝毅 2017-07-13回复9楼

     

    作者总想搞个大消息

    亮了(4)

     

  • 生物科技 37

    黑客接单 (1级)黑客接单QQ839129246 2017-07-13回复10楼

     

    作者总想搞个大新闻

    亮了(2)

     

  • 生物科技 38

    hackbs (2级) 2017-07-27回复11楼

     

    这就是不加加密壳反调试的后果

    亮了(0)

 

 

 

 

 

 

 

 

相关文章