AVG提醒您注意防范“白加黑”型恶意程序

88865ff

近日，AVG中国病毒实验室发现一类为了躲过杀毒软件主动防御，利用正常程序加载和执行恶意代码的木马程序正在大规模爆发。这种木马由两部分组成：正常的程序加恶意程序，正常程序被利用后，恶意代码即可被加载和执行。AVG实验室将该木马命名为“白加黑”恶意程序。

下面这款木马程序就是采用此种方式执行。下图是该木马的WinMain函数，看起来虽然是很简单，但是在Fn_ReleaseVirusFile这个函数中却别有洞天。



该木马通过申请内存，然后将主要代码拷贝到其中并执行。




这段代码实现的功能相当复杂，会根据程序启动时的参数执行不同流程，实现不同的功能。让我们看看它究竟复杂在哪：

1. 该木马首次执行时没有参数，会在system32目录下释放NvSmart.exe，NvSmartMax.dll和Boot.ldr这三个文件。NvSmart.exe为正常文件(就是我们所说的白)，有合法的数字签名;NvSmartMax.dll恶意文件(就是我们所说的黑);Boot.ldr为一段shellcode。然后通过com方式创建并启动服务。







2. 服务启动后，NvSmart.exe得到执行并通过导入表加载NvSmartMax.dll，NvSmartMax.dll会在其dllmain函数中修改NvSmart.exe的入口代码，转到NvSmartMax.dll中的代码，然后读取boot.ldr中的代码到内存中并执行。









3. 当启动参数为“200 0”时，该木马会启动svchost.exe进程，写入恶意代码，修改程序入口代码，跳转到恶意代码执行。




4. 当参数为”k”时，该木马会加载多种插件，包括keylogger(键盘记录)模块、远程控制模块、木马隐藏模块等等。


5. AVG通过对比写入的代码，发现该木马所有进程间的注入代码都是Boot.ldr文件中保存的二进制代码，只是通过进程启动时的参数来控制程序的流程，以实现不同的功能。


另外，该木马可能正处于测试阶段，因为在代码出现了如下字符串：





AVG提醒您，一定要注意防范此类恶意程序，一旦中招，就会对您造成不必要的损失。防范此类恶意程序，可安装AVG杀毒软件，并及时更新至最新版本。已经安装AVG的用户可以放心使用您的电脑。





转自：
http://www.newhua.com/2012/0830/174802.shtml

wanglei7865

原来木马也有版本

尘梦幽然

wanglei7865 发表于 2012-8-30 21:42 混卡饭的都知道白加黑了吧，国外杀软没看见对抗白加黑特别给力的

此白加黑非彼白加黑。
这个比样本区单纯的Infostealer厉害，可以分类为Trojan了。

UDady

AVG还是很给力的，2013一定要把资源占用给压下去啊

bbs2811125

看来是升级了，这个系列一定要打压下去啊

huihui458

AVG杀毒软件，并及时更新至最新版本。已经安装AVG的用户可以放心使用您的电脑。

大亮

a256886572008

這哪叫白+黑，應該叫  捆綁型的變種。

原因：母體只是一個黑 exe

對於這類樣本，sandbox 型 HIPS 就能輕鬆對付，直接把母體 黑exe 直接給入沙就結束。


--------------------------------
真正的白+黑，在掛馬界根本沒出現過，幾乎都是靠欺騙用戶下載。

初学乍到

这不是感冒药啊

870097067

AVG的溫馨提醒哦給力哦！

Mrt

AVG这还是算重视的吧