9月8日百锐安全实验室捕获到一种病毒的***的变种AD.W32.OLG.dc。该病毒最早出现在今年6月份,之后对抗杀软进一步更新技术。***变种感染后的计算机,每次开机无法执行任何操作,无法创建进程,电脑完全变成了广告宣传画(如下图所示),该病毒用恶劣的技术手段控制计算机,在染毒后未重启的情况下,会加入winlogon启动项, 结束进程管理器,explorer.exe ,阻止任何新进程的创建。
相比最近热门的BMW bioskit 病毒而言,他没有使用复杂的底层计算机,但无论是正常重启,还是安全模式重启(仅当以命令行安全模式,管理员身份登录时,恢复explorer启动才行,清除相关修改项),进行系统后都是无法进行任何操作。只能重新安装。该病毒目前可穿透多数流行的防御软件。
开启百锐仅当实时监控,动态启发式分析可以检测该病毒。
Jashla.exe是病毒的衍生文件
该病毒外层采用upx 加壳,运行后会加入大量混淆数据,防止静态分析
构造程序大量无意义跳转分析干扰分析
在大量的变形代码中,加入解密的过程,前段程序解密后端代码
此时在解密中0x40c840出代码,而此时0x40c840是空白数据
解密后是继续混淆的功能代码。
经过最终反复解密后,最终会运行真正的恶意代码
该病毒会释放自身到下面目录,随机创建文件名称,并执行该进程,同时自删除自身。后续操作有另外新启动的进程执行。
C:\Documents and Settings\%user% \Application Data\fjhyf.exe"
该程序会读取自身是否的配置文件,决对下一步操作。
同时开启线程,
加载自身广告图片,设置当前系统的背景,此时用户无法操作界面上面图标,仅tab键可以使用。
判断操作系统版本,将自身进程路径加入到
"Software\Microsoft\Windows NT\CurrentVersion\Winlogon",中做到随机启动。如不成功在加入自启动项中。同时结束掉系统的任务管理器和资源管理器。同时监控系统新启动的进程,发现则结束掉。
在另一个线程中,截获windows消息过滤并转发,保证当前背景图片始终是自身设置的广告,而当前桌面所有图标均被隐藏。
该病毒纯以恶意破坏为主,ByteHero百锐信息安全实验室提醒广大网友使用包括ByteHero百锐金盾BSD1.0在内的未知病毒防御软件保护您的数据安全。
免费下载百锐金盾:
