7月26日凌晨官方客服接到用户反馈发现新型病毒,还原被穿透,问题反馈的网吧并持上升态势,立即引起新浩艺网维团队领导的高度重视,随即将此次事件列入“1号紧急处理案”;
在接到通知的“病毒安全防护小组”立即对此病毒进行取样和剖析,在完成了10家以上网吧的病毒取样和分析,确定此次病毒具有很强的针对性,通过注入explorer.exe,获取系统控制权并调用网吧安全软件驱动函数,破坏网吧安全防护软件,来实施穿透目的,进行盗取网吧用户的上网帐号;
在此期间,陆续接到同行们的反馈也都表示受到了相同程度的破坏,使得“病毒安全防护小组”的同事们感受到自己身上责任重大,大家通宵达旦针对病毒进行分析和应对方案处理,截止7月27日凌晨9点奋战了24小时的“英雄”们终于给出了应对方案和处理方法,目前补丁已经经过公司内部测试,以及10多家网吧测试
新型病毒处理里程碑事件:
1、7月26日11时,接到用户反馈和第一个用户样本提取
2、7月26日14时,完成病毒库的更新,将此次病毒所带进程和相关文件加入黑名单并下发
3、7月26日22时,完成10家病毒网吧的取样
4、7月27日凌晨4时,完成新型病毒的原理分析
5、7月27日上午8时,完成新型病毒的处理方案的指定
6、7月27日下午13时,完成新型病毒防御的开发
7、7月27日下午15时,完成新型病毒防御的内部测试
8、7月27日晚上20时,完成新新型病毒的外部测试
9、截止目前位置已知的病毒程序已经更新病毒库进行防御,建议升级补丁完全杜绝新型病毒
下载地址:
文件大小:7.25 Mb
文件MD5:a30c0c624152ae01479dd8a6585fb4
病毒的现象:
1、任务管理器中会随机出现命名杂乱的EXE执行程序,或在C:\Program Files\Internet Explorer下创建my_705file.exe,skype.exe,my_xcode.exe病毒文件。drvanti.exe
2、客户机因为资源占用高导致机器出现爆卡的现象
3、感染的程序有Explorer.exe、cmd.exe、svchost.exe…
4、因为病毒会感染MBR,如果存在中毒的用户,请先修复MBR后在恢复操作系统
研究分析:
根据以下代码分析,此次病毒具有很强的针对性,是有一个组织或团队专门针对网吧市场进行破坏
(病毒中含有随机以数字命名的驱动程序,有应用程序。用多种方式加壳过。病毒采用常用的方式注入到系统以及安全的进程,然后再卸载安全软件的驱动。病毒先后注入了资源管理器、IE和安全软件的可信进程)
病毒代码:
===============================================================================
int __usercall sub_401702<eax>(int a1<ebx>)
{
int result; // eax@3
int v2; // [sp-4h] [bp-Ch]@2
if ( !lstrcmpiA((LPCSTR)(a1 + 36), "360tray.exe") )
{
dword_40653C |= 1u;
v2 = 1;
LABEL_18:
result = sub_401DF0(*(_DWORD *)(a1 + 8), v2);
goto LABEL_19;
}
result = lstrcmpiA((LPCSTR)(a1 + 36), "explorer.exe");
本文来自电脑杂谈,转载请注明本文网址:
http://www.pc-fly.com/a/jisuanjixue/article-22435-1.html
乱放屁
我也昨天也喝了黑芝麻糊