查看: 2497|回复: 4
收起左侧

[分享] VRVNAC软件携带恶意程序 公安等行业用户可能受影响

[复制链接]
火绒工程师
发表于 2019-3-12 19:44:44 | 显示全部楼层 |阅读模式
一、        概述
近期有公安、气象等行业若干单位反馈,他们使用“火绒安全软件”检测出VRVNAC“桌面监控”软件携带恶意程序,请火绒确认。经分析,该产品所使用的功能组件(AdvancedAll.dll)遭Ramnit病毒感染,恶意代码被包含在文件的资源数据中,因火绒查杀深度较深,所以会检测出恶意代码。
火绒团队早在2015年就发现该产品组件携带恶意代码,并告知过该公司,但问题至今未被解决。火绒团队推测,这可能是供应链污染造成的,该组件的编写者开发环境被病毒感染,导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻,也不会造成大面积扩散,但的确是潜在风险。
据了解,这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位,火绒强烈建议该产品供应商尽快排查开发供应链,彻底解决该问题。

二、        分析
近期,有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒。火绒分析师分析后,发现该组件(AdvancedAll.dll)的资源文件中的网页资源被病毒感染(火绒检测为:TrojanDropper/Ramnit.f),并且该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。VRV产品及火绒报毒界面,如下图所示:
模块加载列表

火绒查杀图
签名比较

火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描,所以虽然恶意代码被包含在文件的资源数据中,但是仍会被检测到。如下图所示:
资源文件
被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,如下图所示:
释放svchost
被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件,并将二进制数据(PE文件)写入到已创建的文件,然后执行。提取到的部分代码,如下图所示:
释放病毒文件
当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中,然后遍历全盘并感染EXE、DLL、HTML、HTM文件,用于传播自身。感染逻辑以及运行截图,如下图所示:
感染逻辑
[size=0.83em]9.png (185.92 KB, 下载次数: 0)
下载附件
[color=rgb(153, 153, 153) !important]37 秒前 上传



感染后文件

Miostartos
发表于 2019-3-12 19:51:08 | 显示全部楼层
草,北信源这帮人搞什么。这种低级错误都能出。
dg1vg4
发表于 2019-3-12 20:00:27 | 显示全部楼层
激活条件比较苛刻,也不会造成大面积扩散


看来除了静态代码扫描,也很难发现。
北信源要知耻啊。
liusiying
发表于 2019-3-12 20:11:46 | 显示全部楼层
这下火绒要火了
y123ao6
发表于 2019-3-12 21:00:51 | 显示全部楼层
本帖最后由 y123ao6 于 2019-3-12 21:02 编辑

北信源肯定不会修复的
所以还是忽略免杀吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:51 , Processed in 0.127160 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表