记录一次Win10莫名其妙被植入一个恶意软件

最新推荐文章于 2024-05-21 09:36:51 发布
最新推荐文章于 2024-05-21 09:36:51 发布
阅读量1.3w 收藏 1
点赞数 6
分类专栏: 信息安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lp8800/article/details/106869134
版权

众所周知现在的Win10的安全性已经很高了,并不会出现像是在XP时代机器因为开放了一些端口就莫名其妙被植入恶意软件的情况。但是今天我就莫名其妙遇到了这个问题。
 

今天早晨开机后本机的某绒查杀了一个病毒软件,某绒对其的病毒标记为:BackDoor/MemoryDll ,这让我很纳闷了,平常我也不怎么下载一些乱七八糟的软件啊,怎么会就被植入这种莫名其妙的东西呢?文件路径被植入在:

C:\Users\[用户名]\AppData\Local\zgshopmQd\zgshopmQd.exe文件。说明植入到该文件是一个不具备SYSTEM权限的进程,

我立即调出该文件正准备一探究竟,立即发现该病毒文件居然有签名!

右键属性后有数字签名

 

该exe文件不但有数字签名,文件元数据居然是中文的。见下图:

查看一下“详细信息”,更是惊喜,文件描述等居然都详详细细的写的都是中文的:

这就是告诉你,我们就是一个合法的软件下载安装器啊,

我们继续照着数字签名的名称下手,嗯,

时间戳服务是赛门铁克的,

证书颁发者是大名鼎鼎的DigiCert:

好么,证书花了钱的。然后就在用户电脑中行蝇营狗苟之事。

好,我们来看一下这是什么公司:

Sichuan Zhiling Times Network Technology Co., Ltd.

通过一定手段的搜索,我们找到了这家公司的中文名称:

四川智领时代网络科技有限公司

我们继续搜索:

只是百度了这么一下,还没点进任何一个链接就发现了一些字眼: “卸载不完全”、“反复安装”流氓软件、等等等,发现这个软件本身就已经臭名昭著一段时间了,这不得不让我想起了20年前叱咤中文互联网的流氓软件大BOSS:

3721上网助手

这倒霉玩意儿当年有多恐怖?

就这倒霉玩意儿当年感染了所有学校的机器,每台机器除了重装系统的方法外,就只有深入到rootkit 0 甚至更深层的系统权限去删除注册表键,否则即便是删除了软件,仍然存留着病毒文件进程,无法删除文件(安装器恶意文件通过系统hook进行自保护)等等一系列现代安全软件自保护手段去保护病毒文件,然后就是超级权限注册表键,操作系统权限都无法删除…… 简直罄竹难书

 

幸好某绒挡住了该文件,阻止了该文件的运行。

 

否则我工作量就大了。

 

对于该文件,这是国外的综合杀毒和扫描站的报告:

https://www.freefixer.com/library/file/Telshan.exe-298615/

通过多方网友的报告:

https://tieba.baidu.com/p/6439096142

我发现我还曾经在电脑上真的中过这个病毒,,但是那已经是去年重装系统以前的事情了 ,当时发现以后就手动杀干净了,没想到今天又出现。

本来这并不是什么大事,问题在于,这个文件它究竟是怎么来的。我电脑上使用的国产软件并不多,常驻的国产软件的进程无非就QQ输入法、QQ和向日葵远程控制以及某绒。QQ公司很大不差钱,那剩下的就是……向日葵? 上海贝锐应该不至于干这种事情。

我平常大多数只用只下载开源软件使用,然而

究竟是什么软件把这个恶意文件带进来的呢?

 

这件事还真是有待调查。

 

推断1、其实大公司是肯定被首先排除的,因为他们搞钱没必要从这么下作的渠道搞。

推断2、某种压力迫使大公司通过大众性软件,例如QQ、微信等软件下发恶意软件,这个神秘力量自己猜吧。我猜是共济会。

推断3、微软Win10操作系统存在某个0day漏洞,由于某个开放的端口存在某种漏洞,导致栈溢出代码执行漏洞被利用。

推断4、下载的某些“合法”文件,其实自己存在某个宏写入到系统的数据。比如Office的VBA宏。但是至今我没有发现我电脑上存在哪个合法的office文件给我带来惊喜。

推断5、pdf文件读取器漏洞。我比较喜欢下载pdf。

 

就在本文首次发布的当日,我发现火绒官方居然也发布了跟我相同的一种病毒的报告:

https://zhuanlan.zhihu.com/p/149300641

https://www.huorong.cn/info/1592489908487.html

 

 我的推断被缩小范围到:2、3。其他的可能性变小了。

 

火绒在发不了上次的报告后,也就是本文发布的5天后,我发现火绒又发布了一则报告:

https://www.huorong.cn/info/1592912077490.html

我这才发现,确实有可能是向日葵可能存在某种协议漏洞,漏洞被利用来植入这个病毒文件。虽然思路不一样,但是我在考虑其实这家公司是披着合法软件外衣的黑客公司,专门钻研TeamViewer和向日葵这类软件,对其进行修改和反向工程,协议自然也不在话下,那么这些软件远程协议本身可能存在的漏洞就会暴露在这些人的分析之下,是极有可能被人利用一把来植入病毒文件的。所以没有特殊需求的话,尽量不要让TeamViewer和向日葵开机长时间启动,而是随用随开,以减少远程控制协议端口长时间暴露的机会。

 

 

 

 

 

XellossRyan
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
网盘性软件
11-08
网盘性软件
一种植入式无线体温监测系统的研究
01-20
而体温是临床医护采集病史和资料过程中重要的客观指标之一,其准确性直接影响到疾病的诊断和治疗[1]。同样,在活体动物实验中实验人员常常关注实验体的体温随着时间变化的情况。  在具有高传染性的动物活体实验中...
转一篇如何清除DLL后门,要对系统微有点概念的人看
supervise的专栏
10-24 1597
前言   后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐   步增强,又加上杀毒软件的“大力支持”,使传统的后门无法在隐藏自己,任何稍微有点计   算机知识的人,都知道“查端口”“看进程”,以便发现一些“蛛丝马迹”。所以,后门的   编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文   件,然后由某一个EXE做为载体,或者使用Run
10 dll注入
LIJIWEI0611的博客
02-17 628
概念 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,每个进程都认为自己拥有计算机的整个内存空间,这些假象都是操作系统创造的(操作系统控制CPU使得CPU启用保护模式)。理论上而言,运行在操作系统上的每一个进程之间都是互不干扰的,即每个进程都会拥有独立的地址空间。比如说进程B修改了地址为0x4000000的数据,那么进程C的地址为0x4000000处的数据并未随着B的修改而发生改变,并且进程C可能并不拥有地址为0x...
复现CVE-2022-10270(向日葵远程代码执行漏洞)
最新发布
cc123489ll的博客
05-21 314
引言漏洞描述影响版本:原理:环境搭建手动复现脚本复现修复建议。
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
m0_53419552的博客
06-30 9246
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
视频测试软件+视频测试硬件=视频质量测试解决方法+视频测试的重要性
视频质量测试mazhitong1227的博客
08-25 2703
随着视频设备变得更复杂以及上市周期的变短,质量保证(QA)和质量控制(QC)测试人员要在更短的时间内测试更多的功能。通常测试人员而只是杂乱地测试一些基本功能。视频质量测试结果到底怎么样?你是否知道你的系统存在一些性能缺陷和失真? 设计和制造过程中的视频质量测试       随着数字电视(DTV)的出现,视频处理有了巨大的改变。几乎所有的视频被压缩,量化,通过广播和IP方式分发,
软件设计师-5.软件工程基础知识
chenjian723122704的专栏
05-01 2420
5.1 软件工程概述 5.1.1 软件生存周期 软件:包含程序、数据及相关文档。 软件工程:涉及到软件开发、维护、管理等多方面的原理、工具与环境。最终的目的是开发高质量的软件。 目的:提高软件生产率、提高软件质量、降低软件成本。 声明周期:问题定义 -> 可行性分析 -> 需求分析 -> 总体设计 -> 详细设计 -> 编码和单元测试 -> 综合测试 -> 维护。 问题定义:要解决的问题是什么 可行性分析:研究问题的范围,是否值得去解决,是否有可行的解
软件的高可用性、可扩展性和高性能
weixin_44144729的博客
12-16 8428
软件的高可用性、可扩展性和高性能 高可用性 软件的高可用性是指软件的不间断运行能力,它一方面要求软件所依赖的设备本身具有高可靠性,另一方面必须从软件的设计入手,实现一个高可用性的软件产品 高可用性H.A.(High Availability)指的是通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。它与被认为是不间断操作的容错技术有所不同。HA系统是企业防止核心计算机系统因故障停机的最有效手段。 可扩展性 软件的可扩展性表现为基础设置不需要经常变更,应
pw的一个放后门的方法分析
10-30
### pw的一个放后门的方法分析 #### 背景与目的 本文旨在深入探讨一种针对PW(PHPWind)系统的特定后门植入方法。通过详细分析该技术的具体实施过程及其潜在安全威胁,帮助读者理解此类攻击手段的工作原理,并提供...
电子测量中的一种植入式无线体温监测系统的研究
11-09
为了解决这些问题,该研究提出了一种创新的体温监测系统,它将测温装置植入实验动物体内,通过无线方式远程监控体温,提供精确、安全的数据。 系统主要由四个部分构成:温度传感器、体内信号处理测温模块、体外信号...
WriteMemory 写内存
04-15
按键精灵插件,向内存中写入浮点类型,放在按键精灵的 plugin 文件夹下就可以使用,可以成功向 武林外传 写入坐标
一种Java软件水印植入虚方法的永假式构造.pdf
01-01
Java 软件水印算法的虚方法植入设计方法,使用 Java 反射机制动态生成一个随机的 0、1 字符串,对该字符串进行正反码编码和解码,得到一个始终全为 0 的字符串,以此作为永假式的条件,确保虚方法不被执行。...
Android恶意软件无感植入技术的研究与防范.pdf
09-21
攻击者可能会创建一个恶意的WebView页面,当用户访问这个页面时,恶意代码会被执行,从而在用户的设备上安装恶意应用或执行其他恶意行为。由于这种攻击发生在用户看似正常的网页浏览过程中,因此很难被用户察觉。 ...
谨防沦为DLL后门木马及其变种的肉鸡
weixin_34071713的博客
10-08 112
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。 一旦感染,它会释放一个名称随机的DLL文件到用户计算机的系统目录,以服务的方式将其加载运行,同时创建和修改大量注册表项。 运行后,它会通过相应的端口同互联网上的其他计算...
37所国家示范性软件学院
数据库天地
09-06 684
37所国家示范性软件学院 1 北京大学 软件与微电子学院 School of Software and Microelectronics, Peking University ...
如何用命令在电脑桌面植入一个时钟
03-07
您可以使用以下步骤在电脑桌面植入一个时钟: 1. 右键单击桌面空白处,选择“新建”>“快捷方式”。 2. 在“创建快捷方式”对话框中,输入以下命令:cmd /c “start shell:AppsFolder\Microsoft.WindowsAlarms_8wekyb3d8bbwe!App” 3. 点击“下一步”,输入一个名称,例如“时钟”,然后点击“完成”。 4. 右键单击新创建的快捷方式,选择“属性”。 5. 在“目标”字段中,在引号内添加一个空格和“-Embedding”。 6. 点击“应用”和“确定”。 7. 双击新创建的快捷方式,时钟应该会出现在桌面上。 希望这可以帮助您。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值