注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

九头鸟

网络资源 互联共享( QQ群:交流 73376329 交友158594876)

 
 
 

日志

 
 

系统有毒:“苏拉克”木马详细分析(下载GHO系统请特别注意)  

2016-01-22 11:07:10|  分类: 病毒安全 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
引言

  刚重装的系统就中毒了,这是很多网友常常遇到的事,难道是中了引导区木马?甚至bios中毒?其实没那么复杂,很可能是你安装的系统自带了木马。

  一、“苏拉克”木马简介:

  “苏拉克”木马是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播释放是直接在ghost镜像中植入木马,然后将ghost镜像上传到大量网站提供给用户下载,此外,近期也发现该木马的win8、win10版本通过oem激活工具植入用户电脑中。由于该木马的主要模块名为“surak.sys”,且通过分析得知该木马的项目名称即为“surak”,因此将其取名“苏拉克”木马。
         从os_home提供的下载链接下载系统是不会带有这种木马的,其一os_home不算什么出名的系统,呵。。其二苏拉克木马说白了就是先下载系统,加注木马,再上传,然后刷排名等用户去下载加了木马的系统。而os_Home里发表的本身就是“原创”的系统,不存在加注木马这一环节。请注意对照每个系统的md5值哦。再次os_home不会做什么锁定主页这类病毒式传销,如果有发现请及时告诉我。

  二、“苏拉克”木马特点:

  1、传播渠道隐蔽,由于该木马被直接植入到ghost镜像中,用户一安装系统就自带该木马,而此时尚未安装任何安全软件,因此木马的传播过程完全不在监控中。

  2、影响用户多,由于大量网站传播该类ghost镜像,且此类网站投入了大量推广费进行推广,普通用户通过搜索引擎找到的镜像下载站几乎全是带木马的。此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost。

  3、难以清除,由于木马进入系统时间比安全软件早,掌握了主动权,对其后安装的安全软件做了大量的功能限制,使其大量功能无法正常使用,如安全防护无法开启、信任列表被恶意操作等,导致难以检测和清除木马。

  4、对用户电脑安全威胁大,“苏拉克”木马除了锁定浏览器主页获利外,还会实时连接云端获取指令,能够下载其它木马到本地执行,给系统安全造成了极大的威胁。此外,针对64位系统,该木马还会修改系统内核文件,使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。

系统有毒:“苏拉克”木马详细分析(下载GHO系统请特别注意) - 翊风 - OS_Home
 图1. “苏拉克”木马产业链示意图

三、“苏拉克”木马行为分析:

  “苏拉克”木马的功能主要分为4大模块,即内核Rootkit模块、应用层主体模块、应用层加载器模块、应用层上报模块。模块分工明确,可扩充性强,配置灵活,且所有的通讯都使用高强度加密算法加密(AES & RSA),该木马有xp版、win7版、win8版、win10版,除xp版外其它版本又分为32位版本和64位版本,每个版本功能基本一致,以下以xp版本为例进行分析,其它版本行为类似。

  通过各个模块分工协作,该木马完成了主页锁定、云端控制、插件下载、对抗安全软件等功能。
系统有毒:“苏拉克”木马详细分析(下载GHO系统请特别注意) - 翊风 - OS_Home
图2. “苏拉克”木马模块分工示意图
  评论这张
 
阅读(287)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016