查看: 1890|回复: 7
收起左侧

[技术原创] 云南某医院多台电脑被感染,金山毒霸第一时间提供恢复方案

[复制链接]
金山毒霸V11
发表于 2018-9-14 14:57:41 | 显示全部楼层 |阅读模式
本帖最后由 金山毒霸V11 于 2018-9-14 15:19 编辑


0x1 事件概述

不久前,金山毒霸安全实验室接到云南省某医院的求助。其单位20多台电脑中病毒,重要资料全部变成后缀为exe的可执行文件。随后,金山毒霸反病毒专家分析其提供的病毒样本,在第一时间作出修复工具,帮助恢复数据,并提供安全防护建议,加固办公 安全。

0x2 病毒原理

类型

该病毒属于典型的感染型病毒,主要包含两个功能:感染图片和文档,远程控制。

手法

该病毒运行时会扫描电脑中所有后缀为doc/xls/jpg/rar 的文件,将其感染为可执行的exe病毒文件。当用户打开被感染的文件时,会将原来的文件释放并打开,并在后台悄悄运行病毒,达到持续远控和存活的目的。这样,用户打开被感染的文件时,仍然能看到原先的文件内容,但是木马程序已在系统中运行,会对系统造成持续的破坏。

传播

该病毒主要通过U盘在内网中传播,外网环境感染量不大。

0x3 详细分析

病毒流程图

远控模块

该病毒的远控协议比较简单,通过socket连接服务器,然后根据返回的指令执行相应的操作,包括关机,弹窗,感染文件,添加用户,释放文件和自删除。


感染逻辑

该病毒感染文件的逻辑也比较简单,把将要的感染的文件直接放在自身exe的后面,然后把文件的大小在磁盘偏移 0x404处,文件格式写在磁盘偏移 0x40C 处;之后再根据文件格式,在资源表中找到相应的图标,将感染的文件设置成该图标,回写并重命名为后缀exe的文件。

如图,感染后的exe 在0x404 和 0x40C 的偏移内容如下。这表示被感染的原文件大小为0x95ED,文件格式为jpg。而在设置的0x400 处的11111111 ,以及0x408 处的 22222222  则表示该文件已被感染。


添加用户

通过执行X.bat脚本方式创建用户。


自删除

同上,也是通过创建和执行X.bat脚本的方式。


0x4 安全建议

金山毒霸安全专家建议各企业和单位,不要随意退出杀毒软件,不要随意打开可疑文档和来源不明的文件,平时做好U盘杀毒防护,不随便打开陌生邮件和下载其中的附件。目前,金山毒霸可查杀此类病毒,如有遇到相关问题的用户,请联系毒霸工程师(QQ:800042100),我们将提供免费服务。

毒霸查杀此类病毒截图

ozc
发表于 2018-9-14 15:00:49 | 显示全部楼层
给霸霸点赞
ydgaga
发表于 2018-9-14 16:29:23 | 显示全部楼层
好好搞毒霸,把丢掉的金山卫士也捡起来,以后毒霸只防毒杀毒,金山卫士只做辅助,和谁都能搭配,就是一个纯辅助
KingStation
头像被屏蔽
发表于 2018-9-14 18:54:12 | 显示全部楼层
88
dg1vg4
发表于 2018-9-14 18:57:57 | 显示全部楼层
不要随意退出杀毒软件

看来这次是医务人员背锅咯?
ytyx2014
头像被屏蔽
发表于 2018-9-16 07:56:10 | 显示全部楼层
是金山kvm引擎报毒
拉登姐
发表于 2018-11-1 21:47:55 来自手机 | 显示全部楼层
金山卫士确实也挺可惜的是 当然我起码两台电脑装了
1010101
发表于 2018-11-6 22:15:42 | 显示全部楼层
当年的市场霸主,要不是360的免费,还真的不好说呀
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 10:00 , Processed in 0.120071 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表