AVG提醒魔高一尺游戏间谍木马重磅打出组top-iyiou

2019-06-19 06:17:49 来源: 邯郸信息港

AVG提醒: 魔高一尺,游戏间谍木马重磅打出组合拳

AVG中国实验室近发现一款游戏间谍木马。它监视玩家的当前的游戏进程,如果符合监控对象,就抓取整个屏幕发送给远程控制端,同时搜集玩家信息。

该木马使用了复杂的bootkit技术来隐藏自己,相比鬼影系列病毒这次更加隐蔽。在感染病毒的机器中,打开进程管理器会发现多出2个可疑的进程。

同时在有些机器上,开机启动后,会提示系统文件被替换。

在分析中AVG发现,该病毒借鉴了去年的BMW bioskit病毒的相关技术,直接解析FAT32或者NTFS文件系统,来定位系统文件e,并且在操作系统启动阶段就用病毒影藏在磁盘末尾扇区的数据来感染正常的explorer文件。

同时病毒也会判断释放的e,e(文件名称随机,每感染一次都不相同)文件是否还存在,如果已经被删除,还会在下次开机后释放同样一份文件到system32目录下。

AVG发现该病毒的母体文件是用 .net程序开发,而释放的衍生文件是用Broland Delphi 4.0 甚至更早版本编译。

同时在控制操作系统启动阶段中,病毒使用了类似C语言这样的高级语言来编写16-bit 启动代码,这样的方式在bootkit编写代码中是罕见的。这段代码可能是被修改运行环境后(如DOS环境下运行)嵌入磁盘解析的病毒模块当中的。由于病毒作者忽略或者忘记了去掉调试信息,使得AVG进一步确认病毒是用fortran语言编写,fortran语言一般用在数值计算领域,它是为科学,工程问题中那些能够用数学公式表达问题而设计的,被病毒作者使用是很少见的。

在关机的时候,已经被修改的explorer 会创建一个e进程,试图用这个傀儡进程去做写磁盘的数据的操作,以此来避免被杀毒软软件主动防御系统拦截。

该游戏间谍木马破坏性较大,建议大家及时更新病毒库,打开实时监控,由于.net病毒日渐增多,AVG提醒广大游戏玩家不要轻易运行陌生的可执行程序,包括.net应用程序。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

EasyGo联合四洲集团开出香港首家无人零食店只接受微信支付
2015年嘉兴智慧物流Pre-B轮企业
西安银行首发申请获通过
本文标签: