关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 活动 好奇者试用 商城
本帖最后由 漠视迩旳骄傲 于 2018-7-11 19:07 编辑

       前言:暗云4 驱动木马又更新了,建议小伙伴们尽量不要轻易下载来历不明的软件,如果发现主页异常,电脑卡慢等可疑情况请尽快使用360安全卫士查杀。


       近日 360安全中心监控到暗云的一个新变种木马出现,相比暗云之前版本该版本网上下载恶意代码转投挖矿,内核代码没有做太多改动,只是修改了下引导扇区的代码,防止被识别和查杀,不过简单的特征码修改后依然没有逃过我们引导区虚拟机引擎检测。目前360安全卫士已经率先查杀该木马。

暗云四部曲

360社区

360社区


木马行为分析
木马文件为:

360社区

360社区


没有版权信息也没有签名信息。

以管理员权限运行后会改写用户MBR

改写后信息为:

360社区

360社区


并且依然将MBR备份到第二个扇区:

360社区

360社区


第二次开机后,这次去掉了DPC保护,其余代码跟之前一样,比如对急救箱工具的对抗:

360社区

360社区


还会开启线程循环检测以下进程,然后直接结束进程:

360社区

360社区


最后通过插入APC向Winlogon.exe进程注入代码,网上下载恶意代码挖矿:

拼接的网址为:

360社区

360社区


创建进程为C:\\Windows\\Temp\\conhost.exe 然后该进程又释放创建挖矿进程

命令行为:

/C ping 127.0.0.1 -n 6 & taskkill -f /im conime.exe /im ups2.exe & copy /Y \C:\\Windows

\\TEMP\\ups2.exe\ \C:\\Program Files (x86)\\Common Files\\conime.exe\ & \C:\\Program Files (x86)\\Common Files\\conime.exe\ -C

然后开始恶意挖矿。

目前360安全卫士已经率先支持拦截查杀:

360社区

360社区









共 4 个关于【安全播报】暗云4 转投挖矿 360率先查杀的回复 最后回复于 2018-7-11 00:19

评论

直达楼层

音符悦动 LV4.上士 发表于 2018-7-9 19:52 | 显示全部楼层 | 私信
支持QWQ小网站下的软件有很多病毒的
冰上基地 LV5.少尉 发表于 2018-7-10 03:04 | 显示全部楼层 | 私信
有幸学习
来自360手机N7(360社区3.4.6版)
vixenxyy LV10.上校 发表于 2018-7-10 07:31 | 显示全部楼层 | 私信
顶顶顶
绝地武士 LV6.中尉 发表于 2018-7-11 00:19 | 显示全部楼层 | 私信
支持。
来自ONEPLUS A5010(360社区3.4.6版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

漠视迩旳骄傲 产品答疑师

粉丝:18 关注:0 积分:4276

精华:0 金币:1629 经验:2218

最后登录时间:2018-09-26

私信 加好友

漠视迩旳骄傲

粉丝:18 关注:0

私信

最新活动

中秋节活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        360社区客户端下载

        快速回复 返回顶部 返回列表