收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 avast! 恶意软件:礼盒中的惊喜
返回列表 发新帖
查看: 3308|回复: 4
收起左侧

[分享] 恶意软件:礼盒中的惊喜

[复制链接]
hx1997
发表于 2014-2-9 13:23:24 | 显示全部楼层 |阅读模式
本帖最后由 hx1997 于 2014-2-9 13:24 编辑

http://blog.avast.com/2010/12/20/malware-giftwrapping-services/

偌大的网络空间中,有这么一个市场,提供着包装礼盒的服务 —— 专为恶意软件提供。

网络世界里存在着数以千计的恶意软件变种,例如著名的 Alureon、Koobface、FakeAV、Zeus。在这五花八门的品种背后,却是极少数的壳担当着躲避反病毒软件追查的任务。同一个恶意软件样本加壳后能产生几乎无数个新样本。而这对于坏家伙来说正是好消息 —— 对剩下的人来说正是坏消息 —— 这些壳使得更多水平“一般”(译注:“一般”,"average",这里指水平不高)的网络犯罪分子也能轻易制造出恶意软件。

要写出恶意代码并不需要极客般的技术,但想有效地从反病毒引擎眼皮底下溜走,当然是需要高超的技艺的。针对这种困境,当前的解决方案是制造自己的恶意软件加壳工具(译注:后文称为自定义壳),并经常更新以躲避反病毒引擎的检测和模拟。这样一来,就算你的样本被入库了,也不需要重新编写任何代码,加个新壳就能继续散布旧的恶意软件了。

下图展示了加壳工具市场是如何加速恶意软件的产出和散布的:

工作方式

还好,并非所有新生成的样本都能到达目标受害者的电脑上。百发百中是根本不可能的,而我们也正努力尽快入库新变种。

可以肯定的是,有地下市场出售着自定义恶意软件壳。这个市场可能都算不上非法,因为壳的作者可以说他只是造了一个工具,其他人拿这个工具做什么与他无关。毕竟,金钱无所谓香臭。(译注:Money has no smell. 谚语,指只要能赚到钱,就不在乎钱是怎么来的)

分析恶意软件的时候就能看到这些外包产品(壳)。以下是最常见的四个带有作者署名的恶意软件壳,以及通常使用此壳的恶意软件。

Lighty 压缩壳


Lighty 压缩壳

Lighty 压缩壳用于打包 FakeAV。相关的病毒特征是 Win32:Fasec、Win32:Falder、Win32:Jifas。别的反病毒厂商称其为 Alureon、Tdss、SpyGuard 等等。这些名字听起来熟悉吗?这个壳并不修改样本自身,它是个释放器,恶意样本被加密存储在一个多态容器中。(译注:容器,container,任何里边隐藏了文件的东西都叫容器,如压缩包、壳等)此壳很有可能是在俄罗斯写的,标价几百美元。这个壳的特性是会大量使用罕见的 API 函数,以欺骗代码模拟器。

Simba 壳


Simba 壳

Simba 壳也用于打包 FakeAV,我们还见过由 Lighty 压缩壳释放出的样本还加了 Simba 壳的情况。多美妙的俄罗斯套娃啊。相关的病毒特征是 Win32:Gaoprd。别的反病毒厂商称其为 FakeAlert、FakeAV 等。这个壳使用罕见的 API 函数。其来源与市场价尚不明确。

Mystic 压缩壳


Mystic 压缩壳

Mystic 压缩壳是 Lighty 压缩壳的革命性进化版。此壳更新频繁,于是针对它的检测也更多 —— Win32:MalOb-W、Win32:MalOb-X、Win32:MalOb-AE、Win32:MalOb-AF、Win32:MalOb-AL、Win32:MalOb-AT。别的反病毒厂商称其为 Bredolab、Zbot、Zeus、FraudPack、MysticCompressor、XPAntivirus、VistaAntivirus、FakeRean、Katusha 等等等等。再加上前文的 Lighty 压缩壳,想必收入(以及恶意软件加壳的效率)和受感染机器的数量是相当可观的。这个壳比前作使用了更多更多的罕见 API 函数。

Crum 加密壳


Crum 加密壳

Crum 加密壳也是一个多态释放器。它来源于俄罗斯,仅售几百美元。多用于释放恶意 AutoRun 蠕虫及其负载(译注:负载,payload,指具有除了传播以外功能的实际有害代码)。相关的病毒特征是 Win32:MalOb-AI、Win32:MalOb-BZ、MalOb-DW、Win32:Crumpache、Win32:Rimecud。别的反病毒厂商称其为 Palevo、Koobface、Rimecud。据我观察,近来的 AutoRun 蠕虫有三分之一或者更多都是由 Crum 加密壳加密的。

恶意软件的礼盒包装服务 —— 多快好省

许多不同的流行恶意软件家族依赖于极少数的自定义壳来躲避反病毒软件,侵入目标电脑。就算是非极客也能买到这样的程序,开发出专业的(一般也不会被检测到的)恶意软件。恶意软件礼盒包装服务的价格在 600 美元上下浮动,谁又能阻止这个半合法的市场呢?

评分

参与人数 2经验 +10 人气 +1 收起 理由
风葶云 + 10 版区有你更精彩: )
猪头无双 + 1 感谢提供分享,路过学习

查看全部评分

回复

举报

zxcqwe
发表于 2014-2-10 13:04:53 来自手机 | 显示全部楼层
我实在是看不到avast在努力地入库,但是有基因码通杀就行了,我不怕误报,呵呵。还有谢谢楼主翻译
回复

举报

wakezhou
发表于 2014-2-13 10:53:40 | 显示全部楼层
支持楼主的技术贴 学习了
回复

举报

Miostartos
发表于 2014-2-13 10:54:17 | 显示全部楼层
zxcqwe 发表于 2014-2-10 13:04
我实在是看不到avast在努力地入库,但是有基因码通杀就行了,我不怕误报,呵呵。还有谢谢楼主翻译

最近加的那个新启发效果不错
回复

举报

gqmmhy
发表于 2014-2-21 22:00:39 | 显示全部楼层
支持楼主的技术贴 学习了
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:55 , Processed in 0.114899 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表