下载文档原格式
西安翻译学院XI’AN FANYI UNIVERSITY毕业论文题目: 网络木马病毒的行为分析专业: 计算机网络技术班级:姓名: 彭蕊蕊指导教师: 朱滨忠5月目录学号:院系: 诒华1 论文研究的背景及意义........................... 错误!未定义书签。
2 木马病毒的概况................................. 错误!未定义书签。
2.1 木马病毒的定义............................ 错误!未定义书签。
2.2 木马病毒的概述............................ 错误!未定义书签。
2.3 木马病毒的结构............................ 错误!未定义书签。
2.4 木马病毒的基本特征........................ 错误!未定义书签。
2.5木马病毒的分类............................. 错误!未定义书签。
2.6木马病毒的危害............................. 错误!未定义书签。
3 木马程序病毒的工作机制......................... 错误!未定义书签。
3.1 木马程序的工作原理........................ 错误!未定义书签。
3.2 木马程序的工作方式........................ 错误!未定义书签。
4 木马病毒的传播技术............................. 错误!未定义书签。
4.1 木马病的毒植入传播技术.................... 错误!未定义书签。
4.2 木马病毒的加载技术........................ 错误!未定义书签。
4.3 木马病毒的隐藏技术........................ 错误!未定义书签。
计算机安全中的入侵检测与恶意代码分析技术原理解析计算机安全是当今社会中极其重要的一个领域,随着计算机技术的迅速发展和广泛应用,计算机系统面临的风险也在不断增加。
入侵检测与恶意代码分析技术作为计算机安全领域中的重要工具,其原理和应用一直备受关注。
本文将重点围绕入侵检测与恶意代码分析技术的原理进行解析,旨在帮助读者全面了解这一领域的知识。
一、入侵检测技术的原理解析入侵检测技术是指通过对计算机系统的各种活动进行检测和分析,识别出潜在的安全威胁和异常行为。
其核心原理是通过对系统日志、网络流量、系统调用等数据进行实时监测和分析,以发现潜在的攻击并及时采取相应的防御措施。
入侵检测技术主要包括基于特征的检测、基于行为的检测和基于异常的检测三种方式。
1.基于特征的检测基于特征的检测是指通过事先确定的攻击特征或规则来进行检测和识别,其核心原理是将已知的攻击特征与实际的系统活动进行比对,从而识别出潜在的攻击。
这种方式主要包括签名检测和状态机检测两种方式。
签名检测是指通过预先建立的攻击特征库来检测和识别已知的攻击,其优点是准确性高,但缺点是对于新型的攻击无法有效的识别。
状态机检测是指通过对系统状态的变化进行监测和分析,以识别出系统中的潜在攻击。
这种方式的优点是能够处理未知的攻击,但其缺点是误报率较高。
2.基于行为的检测基于行为的检测是指通过对系统的正常行为进行建模,然后检测并识别与模型不符的行为。
其核心原理是通过对系统的行为特征进行建模,并对系统实际的行为进行对比分析,从而发现潜在的攻击。
这种方式的优点是能够识别出未知的攻击,并且误报率较低,但其缺点是对系统的资源消耗较大。
3.基于异常的检测基于异常的检测是指通过对系统的正常行为进行学习,然后检测并识别出与正常行为不符的异常行为。
其核心原理是通过对系统的正常行为进行学习和建模,然后对系统实际的行为进行比较分析,从而发现潜在的异常行为。
这种方式的优点是能够识别出新型的攻击,并且误报率较低,但其缺点是对系统的资源消耗较大。
网络安全常见漏洞攻击案例分析随着信息时代的到来,网络安全问题变得愈发突出。
在这个数字化的世界中,各种网络攻击和漏洞都可能导致个人隐私泄露、金融损失以及社会秩序的混乱。
因此,了解和分析常见的网络安全漏洞攻击案例,对于保护我们的网络安全具有重要意义。
本文将针对几种常见的网络安全漏洞攻击案例进行深入分析。
1. XSS(跨站脚本)攻击XSS攻击是一种通过向网页中插入恶意脚本来实现的攻击方式。
攻击者可以通过篡改前端输入框、URL参数等方式,使用户在浏览网页时执行恶意脚本,从而获取用户的敏感信息或者进行其他恶意操作。
例如,攻击者可以通过在论坛评论中嵌入恶意代码,窃取用户的登录凭证,进而控制用户的账号。
2. CSRF(跨站请求伪造)攻击CSRF攻击是一种通过伪装合法的请求来获取用户信息或执行非法操作的网络攻击手段。
攻击者可以通过各种方式引诱用户点击恶意链接或访问受控的网站,从而实现对用户账号的操作。
举例来说,攻击者可以通过在邮件中插入恶意链接,诱使用户在不经意间发起跨站请求,导致用户帐户被盗。
3. SQL注入攻击SQL注入攻击是一种利用Web应用程序的漏洞来操作数据库的攻击方式。
攻击者可以通过在用户输入的数据中注入恶意的SQL语句,从而篡改、删除或者泄露数据库中的数据。
例如,攻击者可以通过在登录表单中输入“'or'1'='1”这样的注入代码,绕过认证进行非法访问。
4. DDos(分布式拒绝服务)攻击DDoS攻击是一种通过占用目标服务器资源来使其过载,从而导致正常用户无法访问的攻击方式。
攻击者可以通过大量的恶意请求和僵尸网络发起DDoS攻击,使目标服务器无法正常响应合法用户的请求。
这种攻击方式可以严重影响网络服务的可用性和稳定性。
5. Wi-Fi劫持攻击Wi-Fi劫持攻击是一种通过篡改或者欺骗用户的无线网络连接,窃取用户信息或者截取未加密的数据包的攻击方式。
攻击者可以在公共场所设置恶意的Wi-Fi热点,当用户连接到这些热点时,攻击者可以窃取其敏感信息,如用户名、密码等。
网络安全的实际案例分析在当今数字化时代,网络安全问题愈发凸显。
恶意攻击、数据泄露、黑客入侵等网络安全事件屡见不鲜,给我们的生活和工作带来了巨大的风险和威胁。
本文将通过分析几个实际案例,深入了解网络安全问题的复杂性以及如何有效应对。
案例一:大规模数据泄露事件2017年,全球最大的信用评级机构之一Equifax遭遇了一次严重的数据泄露事件。
黑客入侵了他们的数据库,盗取了1.4亿美国消费者的个人身份信息,包括姓名、社会安全号码、信用卡信息等。
这个事件不仅暴露了用户的隐私,还引发了大规模的信用危机。
分析:这起案例揭示了一个企业在网络安全方面的薄弱环节。
Equifax未能进行有效的监测和保护用户数据的措施,导致黑客得以入侵并窃取大量敏感信息。
企业应当加强对用户数据的保护,包括对数据库的强化防护、安全漏洞的定期检测和修补以及培训员工的安全意识。
案例二:勒索软件攻击2017年,全球范围内发生了一系列大规模的勒索软件攻击,如“WannaCry”和“Petya”。
这些恶意软件通过加密用户文件并要求赎金来威胁用户。
攻击对象不仅包括个人用户,还有大型企业、医疗机构和政府部门。
分析:这些攻击揭示了许多组织和个人对安全漏洞的忽视。
大多数受害者都没有及时更新其操作系统和应用程序的补丁,使得恶意软件有机可乘。
企业和个人用户都应保持软件和系统的最新更新状态,并备份重要数据以应对意外情况。
案例三:社交工程攻击社交工程攻击是指攻击者通过欺骗、诱骗等手段获取用户敏感信息的行为。
一个典型的案例是“钓鱼”邮件,攻击者冒充合法的机构(如银行)向用户发送虚假邮件,诱使用户点击恶意链接或提供个人银行信息。
分析:这种攻击形式证明了技术之外的安全风险。
用户的安全意识和鉴别能力是最重要的防御工具。
用户应警惕社交工程攻击,并学会判断和识别可疑邮件、信息和链接。
案例四:供应链攻击供应链攻击是指攻击者通过侵入一个企业或机构的合作伙伴、供应商或第三方服务提供商的网络,进而渗透目标企业的网络系统。
常见的计算机病案例分析计算机病毒是指一种能够在计算机系统中快速传播、破坏系统功能并且自我复制的恶意软件,给计算机系统和用户带来不同程度的危害。
随着计算机技术的不断发展,各种类型的计算机病毒层出不穷。
本文将对常见的计算机病毒案例进行分析,以便更好地了解计算机病毒的特点和防范措施。
一、蠕虫病毒案例分析蠕虫病毒是一种能够自我复制并在计算机网络中传播的恶意软件。
2001年,“伊洛扎病毒”(ILOVEYOU)的爆发就是蠕虫病毒的典型案例。
该病毒通过电子邮件发送,并自动复制并发送给用户的联系人。
一旦用户打开这个附件,病毒就会释放并开始传播,导致大量计算机系统瘫痪。
针对蠕虫病毒的防范措施主要包括及时更新杀毒软件和系统补丁、不随意打开陌生邮件和链接、加强用户教育等。
此外,建立健全的网络安全策略和完善的防火墙也是重要的预防措施。
二、木马病毒案例分析木马病毒是一种隐藏在合法软件中的恶意代码,通过欺骗用户而进行自我复制和传播。
2005年,“黑客之门”(Blackhole)木马病毒的出现引起了广泛的关注。
该病毒通过网络攻击获取用户终端的控制权,窃取用户的隐私信息和敏感数据。
预防木马病毒的关键是提高用户的信息安全意识和加强软件来源的可信度。
用户应避免下载未知来源的软件,及时更新操作系统和应用程序,并通过安装防病毒软件和防火墙等安全工具进行保护。
三、病毒勒索案例分析病毒勒索是指黑客利用恶意软件对计算机进行攻击,并要求用户支付“赎金”以解密或恢复文件和数据的过程。
2017年,“勒索病毒WannaCry”(WannaCry)的爆发引起了全球范围内的恶性感染。
该病毒通过利用操作系统漏洞进行攻击,并迅速传播至全球数十万台计算机。
预防病毒勒索的关键是定期备份重要数据和文件,并使用强密码对其进行保护。
此外,及时安装系统补丁和防病毒软件、禁用不必要的网络服务和端口也是必要的防范措施。
四、间谍软件案例分析间谍软件是一种监视用户计算机活动并收集用户隐私信息的恶意软件。
网络侵入与黑客攻击案例分析随着互联网技术的发展和普及,网络侵入和黑客攻击已成为当前社会安全领域的一大威胁。
本文将以案例分析的方式,探讨网络侵入与黑客攻击的原因、影响和应对措施。
案例一:高等院校数据库被黑客入侵近期,某高等院校的数据库遭到黑客入侵,大量师生个人信息被窃取。
经调查分析,该黑客利用了软件漏洞进入院校的系统,窃取了数据库中的敏感信息。
这起事件给用户造成了严重的辛酸,也给高等院校的网络安全敲响了警钟。
一方面,这起事件的原因是高等院校在信息安全方面的意识和防护措施薄弱。
这可能是因为缺乏对网络安全风险的认识,或者是高等院校未能及时更新软件和补丁,使系统暴露在黑客的攻击范围之内。
另一方面,黑客攻击给个人和社会带来了严重的影响。
个人隐私被曝光可能导致身份盗用、财产损失等问题,而社会机构的信息泄露也给安全环境带来了极大的威胁。
为了应对类似攻击,我们提出以下几点建议:首先,提高信息安全意识。
高等院校应加强师生对网络安全的培训,提高他们的信息安全意识和防范能力。
其次,加大网络安全投入。
高等院校应加大对网络安全的投入力度,更新软件和补丁,建立健全的信息安全防护系统。
最后,加强与安全公司和研究机构的合作。
高等院校应加强与安全公司和研究机构的合作,借助他们的技术和经验提供更强大的安全保障。
案例二:医疗机构遭受勒索软件攻击近期,某医疗机构遭受了勒索软件攻击,导致重要患者数据被加密并勒索赎金。
该事件严重干扰了医疗机构的正常运营,给患者和医务人员带来了极大的困扰。
该事件的原因是医疗机构的网络安全措施不足。
很可能是由于医疗机构的网络和系统缺乏及时的更新和升级,使得勒索软件能够轻易侵入系统,并加密重要数据。
勒索软件攻击不仅会导致服务停滞和数据丢失,还可能使机构声誉受损且承担不必要的经济损失。
为了预防勒索软件攻击,我们提出以下几点建议:首先,定期备份重要数据。
医疗机构应定期备份重要数据,确保在遭遇攻击时能够快速恢复服务。
信息安全中的网络入侵溯源与排查技巧随着互联网的普及和信息化的发展,网络入侵事件也日益频繁。
为了保护个人隐私和企业机密,及时发现和排除网络入侵是至关重要的。
本文将介绍网络入侵溯源与排查技巧,帮助您更好地应对网络安全威胁。
一、什么是网络入侵溯源网络入侵溯源是指通过追踪和分析入侵者的攻击路径,寻找攻击源头,以便采取相应的防御和排查措施的过程。
它主要包括以下几个步骤:1. 收集证据:当发现网络入侵事件时,第一步是及时收集相关证据,如攻击日志、异常网络流量、恶意代码等。
2. 分析攻击路径:通过综合分析收集到的证据,确定入侵者的攻击路径,包括利用的漏洞、入侵方式、攻击工具等。
3. 追踪攻击源头:根据攻击路径的信息,利用网络监控工具和网络流量分析技术,逐步追踪攻击的源头,找到攻击者的真实IP地址或操控机器的位置。
4. 采取防御措施:一旦确定攻击源头,可以采取相应的防御措施,如封禁IP地址、修补漏洞、更新防护软件等,以减小进一步被攻击的风险。
二、网络入侵溯源与排查技巧1. 日志分析日志记录是网络入侵溯源的重要依据。
通过分析服务器日志、网络设备日志、系统日志等,可以追踪到攻击者的行为和攻击路径。
在日志分析中,可以关注异常IP地址、异常访问记录、异常登录行为等。
2. 网络流量分析网络流量分析是追踪网络入侵路径的有效方法。
通过使用网络流量分析工具,可以分析网络流量的源和目标,识别异常的流量模式,并排除正常的流量。
此外,还可以根据流量分析确定网络入侵的类型,如DDoS攻击、端口扫描等。
3. 恶意代码分析当发现系统中存在恶意代码时,可以通过恶意代码分析,了解攻击者的攻击方式和目的。
通过对恶意代码的特征、行为和利用的漏洞进行分析,可以推断出攻击者的意图,并及时采取相应的应对措施。
4. 漏洞扫描和修补漏洞是入侵者进行网络攻击的重要手段之一。
定期进行漏洞扫描,找出系统中存在的漏洞,并及时修补补丁,是防止网络入侵的关键。
同时,还应加强对第三方应用程序和插件的监控,确保及时更新和修补安全漏洞。
基于可视化的网络安全事件溯源与分析最佳实践案例分享与总结随着互联网的快速发展,网络安全问题日益突出,各种网络攻击、数据泄露等事件时有发生。
为了应对这些风险,各大企业纷纷采取网络安全事件溯源与分析来提高自身的安全防护能力。
本文将以实际案例为基础,分享并总结基于可视化的网络安全事件溯源与分析的最佳实践。
一、案例背景介绍某ABC科技公司是一家中型企业,业务覆盖范围广泛,拥有自己的网络平台。
近期,该公司的一台数据库服务器遭到黑客攻击,导致大量核心数据泄露。
为了还原事件发生过程并防止此类事件再次发生,ABC科技决定采用可视化的网络安全事件溯源与分析技术来解决问题。
二、网络安全事件溯源与分析方法1. 数据收集与整理ABC科技首先收集了与攻击事件相关的日志、网络流量记录、系统账户登录记录等关键数据。
通过对这些数据的整理与分析,可以还原事件发生的全过程,找出安全漏洞的具体来源。
2. 可视化分析工具的选择ABC科技选择了一款功能强大的可视化分析工具,用于对溯源数据进行可视化处理。
该工具可以将庞大的数据转化为直观的图表、图像等形式,便于分析人员查看和理解。
3. 溯源图谱的构建基于收集到的数据,ABC科技利用可视化分析工具构建了网络安全事件的溯源图谱。
图谱包括各类安全设备、攻击源、受攻击主机等节点,通过节点之间的关系和交互,可以清晰呈现攻击事件的发展过程。
4. 安全事件分析通过可视化的溯源图谱,ABC科技的安全团队可以追踪整个攻击链路,并进行深入分析。
他们首先发现了被黑客控制的恶意软件进入网络的路径,并找出了攻击者利用的安全漏洞。
进一步分析后,他们发现攻击者通过制造大量网络流量来隐藏真实攻击活动,并利用DDoS攻击进行干扰。
通过这些分析,ABC科技确定了一系列应对措施,改进了网络安全防护体系。
三、实践案例的收获与总结通过基于可视化的网络安全事件溯源与分析技术,ABC科技取得了显著的成果。
与传统的文本分析相比,可视化分析提供了更直观、更易懂的数据展示方式,使得安全团队能够更加高效地发现问题并作出应对措施。
黑客攻击案例分析随着互联网的普及和信息技术的发展,黑客攻击已经成为一个严重的网络安全问题。
黑客攻击不仅对个人隐私和财产造成威胁,还对企业和国家的安全造成了严重的影响。
本文将通过分析几个典型的黑客攻击案例,探讨黑客攻击的原因、影响和防范措施。
案例一:电子邮件钓鱼攻击电子邮件钓鱼攻击是黑客攻击中常见的一种手段。
黑客通过伪造电子邮件的发送者身份,诱骗用户点击恶意链接或下载恶意附件,从而获取用户的个人信息或控制用户的计算机。
一旦用户中招,黑客就可以利用用户的身份进行各种非法活动。
案例二:DDoS攻击DDoS(分布式拒绝服务)攻击是黑客攻击中的一种常见形式。
黑客通过控制大量的僵尸计算机,同时向目标服务器发送大量的请求,导致服务器无法正常工作,从而使目标网站无法访问。
DDoS攻击不仅会给目标网站带来经济损失,还会影响用户的正常使用体验。
案例三:数据泄露攻击数据泄露攻击是黑客攻击中最为严重的一种形式。
黑客通过入侵目标系统,获取用户的个人信息、企业的商业机密或国家的重要数据,并将这些数据公之于众。
数据泄露不仅会给个人和企业带来巨大的损失,还会对国家的安全造成严重的威胁。
以上三个案例只是黑客攻击的冰山一角,黑客攻击的手段和形式多种多样。
那么,为什么黑客攻击如此猖獗?首先,黑客攻击的动机主要有两个方面:经济利益和个人兴趣。
一些黑客攻击是为了获取经济利益,比如通过窃取用户的银行账号和密码来盗取财产;而另一些黑客攻击则是出于个人兴趣,比如为了显示自己的技术水平或者满足自己的好奇心。
其次,黑客攻击之所以如此猖獗,还与网络安全意识的不足有关。
很多用户对网络安全的重要性缺乏认识,容易被黑客的伪装手段所欺骗。
同时,一些企业和组织在网络安全方面的投入不足,导致网络系统的漏洞无法及时修补,给黑客攻击提供了可乘之机。
那么,如何防范黑客攻击呢?首先,用户应该提高自己的网络安全意识,不轻易点击不明链接或下载不明附件,同时定期更新操作系统和安全软件。
多家企业网络入侵事件传言的同源木马样本分析安天实验室多家企业网络入侵事件传言的同源木马样本分析Antiy CERT一、攻击事件源起根据有关事件传言,2009年月至2010年1月间,多家国际大型企业网络遭受了入侵攻击,对此,相关报道、媒体以及网络传言都有不同说法,从相关消息汇总来看,其中相对有依据的说法来自几家国际安全厂商,包括Symantec、Mcafee、TrendMacro等,综合根据各厂商已经发布的分析报告和有关报道,较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击(业内主要认为是IE浏览器相关漏洞,这个漏洞已经被命名为“极光”),并进而被植入了木马。
二、攻击采用的漏洞分析根据有关描述,安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。
攻击方法都是利用被称为极光的IE 0day漏洞,并对有关代码采用了javascript加密变形,在常见的堆喷射技术的利用代码部分进行了变换,使得堆喷射代码只有在javascript运行后才能看到。
其中比较特殊的是采用了String.fromCharCode(sss[i]/7)手段对堆喷射代码进行变形成为数字数组形式,使静态检测堆喷射代码检测困难。
但需要指出的是,脚本加密方法是当前网页木马的常规技术手段,整体来看这个攻击的代码的加密复杂程度有被夸大的倾向,实际上相关加密并不难于分析还原。
下面是部分代码截图:关于有关漏洞的机理网上已经有较多的材料予以说明,用户可以自行搜索予以了解,并可以参靠本报告附录中的有关链接。
三、攻击样本分析安天实验室在此事件过程中并未与相关企业建立直接的联系,相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名,并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。
截至到2010年1月26日,安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系,共筛选出关联样本13个进行细粒度分析(其中两个样本直接来自境外反病毒厂商提供),其中3个为PE可执性程序,10个为PE动态链接库。
经关联分析确认,3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库;而有7个样本原始文件名均为Rasmon.dll,经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异,且均可加载acelpvc.dll,而acelpvc.dll又进一步加载VedioDriver.dll。
因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。
但由于缺少实际场合验证,且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化,安天无法确定相关样本就是相关事件中的样本,只能说明相关样本存在较大的同源性关系。
件名已不可考。
采用的是安天获得该样本时的文件命名,其中30755.malware名字从风格看是采用其他厂商的病毒命名作为文件名。
下面是样本来源和衍生关系图谱(关于相关样本的更多细节,可以查看附表一):样本提取来源关系图根据已经描述的样本间的衍生和调用关系,可以基本描绘出相关攻击和恶意代码样本的整体作用流程和因果关系为:受害用户通过IE浏览相关攻击页面后,被注入执行PE可执行样本,相关样本运行后创建rasmon.dll文件到%System32%目录下并动态加载,释放批处理文件删除该PE可执行文件。
rasmon.dll加载acelpvc.dll,成功加载后acelpvc.dll会继续调用VedioDriver.dll,在rasmon.dll运行后便会尝试连接网络,接受控制。
整体逻辑如下图所示:由于样本集中的3个可执行文件基本功能逻辑完全一致,且样本中的各rasmon.dll的功能相同,所以下面以BCBEF5AB2C75C171FEDCCA0A33BCF7F7样本为主展开进行综合分析:3.1PE可执行样本的本地行为1、相关PE可执行文件运行后会释放以下文件%System32%\Rasmon.dll2、创建注册表服务项HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ImagePath值: 字符串: “%SystemRoot%\Sys-k netsvcs.”描述:设置服务启动路径HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ObjectName值: 字符串: "LocalSystem"描述:设置服务对象名称HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Parameters\ServiceDll值: 字符串: “c:\windows\system32\rasmon.dll.”描述:设置服务对应的dll项HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Start值: DWORD: 2 (0x2)描述:设置服务的启动方式为自启动3、开启svchost.exe进程将Rasmon.dll注入到进程中创建一个线程向病毒作者地址发送数据,使控制者可以对被感染的用户进行远程控制等相关操作。
3.2PE可执行样本的网络行为1.协议:TCP2.主动连接远程443端口发送数据并等待回复3.当前域名解析后IP地址已经被相关免费2级域名服务商指向:127.0.0.2,已经不具有分析价值。
4.描述:连接到该域名等待接收病毒作者发送的控制指令3.3衍生样本Rasmon.dll的功能分析病毒运行后开启6个线程,分别对文件数据进行操作,允许远程攻击者进行监测、窃取等操作。
远程攻击者可以对受控系统做如下操作:1、检查进程和服务的状态、控制和关闭进程与服务。
2、创建、修改和删除注册表项与键值。
3、读、写、执行、复制、删除等文件操作。
4、重启和关闭计算机系统。
5、收集受控系统信息,如:IP地址、计算机名、操作系统版本、内存大小等。
6、清除系统事件日志。
病毒的衍生文件rasmon.dll创建文件%temp%\1.tmp,关键API:CreateFileA:并检测是否存在%system32%\acelpvc.dll,如果存在则加载,下面为代码片段,加载API:LoadLibraryA:并调用EntryMain()入口,调用acelpvc.dll文件的EntryMain模块:由acelpvc.dll导入%system32%\VedioDriver.dll。
调用%system32%\drivers\etc\networks 文件中的信息。
尝试下载远程文件到本地并重命名为mdm.exe并执行(地址已失效)。
攻击者可以利用VedioDriver.dll相关功能模块对受控系统进行监视用户界面活动。
下面是向外发送数据的代码片段:数据格式如下:+00 DWORD MajorCode+04 DWORD MinorCode+08 DWORD SubCode+0C DWORD ExtraSize+10 WORD ExtraChecksum+12 BYTE ExtraKey+13 BYTE Padding接收14字节数据(已失效),如接收失败则删除临时目录下的1.tmp,下面为相关代码:尝试连接, 该域名已经被相关免费2级域名服务商被指向:127.0.0.23.4acelpvc.dll、VedioDriver.dll的同源关系确认相关国外厂商在命名中对acelpvc.dll、VedioDriver.dll与可执行主程序与Rasmon.dll采用了同一命名,这是一种以事件归一性为准的命名方法,实际上acelpvc.dll、VedioDriver.dll与其他样本明显不具有代码同源性,经acelpvc.dll与VedioDriver.dll分析确认发现,这一个VNC 型后门。
VNC(Virtual Network Computing)是由Olivetti & Oracle实验室开发的开源远程管理软件,后此实验室被AT&T收购,2002年A T&T终止了项目更新。
由于该项目遵循 GPL协议,因此后续衍生出了RealVNC、TightVNC、UltraVNC、Vine Viewer等多个版本。
VNC拥有较大的用户基数,其Server端运行后有可控托盘图标,因此并不是一个后门程序。
但由于其开放源码,2000年已经发现有通过修改功能代码、屏蔽掉托盘图标的后门,之后利用VNC源码进行改造的后门呈现出家族化趋势。
2003年3月8日被安天捕获,并引发业内广泛关注的口令蠕虫(Worm/Win32.Dvlodr)也正是以此为后门。
样本中VedioDriver.dll包含(auroraVNC)编译路径,如下图。
由/下载VNC程序,其中文件wm_hooks.dll与acelpvc.dll文件逻辑有一定相似性。
1.Wm_hooks.dll与acelpvc.dll的功能相同或代码相似处很多,下面是以入口地址、加载DLL和消息弹窗来进行比较的结果是除了编译后的细小地址上的差别外,在核心结构与功能上是一致的。
下面是Wm_hooks.dll代码片段:下面是acelpvc.dll相似代码片段:2.Wm_hooks.dll与acelpvc.dll中都调用了大量的相同的PE动态链接库与函数,这里列举这两个DLL都引用.Net Framework中的mscoree.dll和CorExitProcess函数为例来进行说明。
下面是Wm_hooks.dll调用.NET Framework相关组件文件及函数代码片段:下面为acelpvc.dll调用与Wm_hooks.dll相同的DLl及函数代码片段:VedioDriver.dll编译路径中有AuroraVNC,其与VNC具有一定的关联性:由此相关分析可得出:acelpvc.dll与VNC文件中的Wm_hooks.dll有部分代码功能相同,但并未完全具有VNC的所有功能。
3.acelpvc.dll的逆向代码功能与VNC功能代码有相同之处。
下面为VNC中的源码片段为例进行说明:VNCHooks.cpp全部代码链接为:http://www.iteria.fr/public/UVNCServer/winvnc/vnchooks/VNCHooks.cpp,其中截取查找的窗口类名这部分源代码,如下所示:下面为acelpvc.dll注册窗口类创建窗口的逆向代码部分。
