AVG提醒你谨防白色和黑色的恶意软件
最近,在中国AVG病毒实验室发现了一种木马程序,用正常的程序来加载和执行恶意代码,避免杀毒软件的主动防御,该木马主要分为两部分:正常的程序加上一个恶意程序,并在程序的正常使用,恶意代码可以加载并执行。AVG实验室命名为木马白色和黑色恶意软件。下列木马程序是这样实现的。下面是木马WinMain函数,虽然很简单,但这个功能是隐藏在fn_releasevirusfile美丽的地方。
特洛伊木马程序用于内存,然后将主代码复制到它并执行它。
这个代码的功能相当复杂,根据程序开始时的参数可以执行不同的过程来实现不同的功能:
1。有了木马的第一执行无参数,和三的文件,如NvSmart.exe、nvsmartmax.dll,和boot.ldr,将system32 directory.nvsmart.exe下发布的是一个正常的文件(我们称之为白色)。它有一个合法的数字签名;nvsmartmax.dll恶意文件(我们称之为黑色);Boot.ldr是一个shellcode。然后服务创建并开始通过COM。
2。服务启动后,nvsmart.exe和通过实施导入表加载nvsmartmax.dll,nvsmartmax.dll将修改的nvsmart.exe DllMain函数入口代码,以nvsmartmax.dll的代码,然后读取boot.ldr代码到内存并执行。
3、当启动参数是200 0,木马会启动svchost.exe进程,编写恶意代码,修改程序入口代码,并跳转到恶意代码的执行。
4,当参数,k,木马会加载很多插件,包括键盘记录程序(键盘记录)模块、远程控制模块、木马隐藏模块等。
5、通过写代码,发现所有的注码的木马的进程之间的二进制代码保存在boot.ldr文件。通过控制进程启动过程的参数,AVG可以实现不同的功能。
此外,特洛伊木马可能处于测试阶段,因为下面的字符串出现在代码中:
AVG提醒你必须小心防止这种恶意软件,一旦你得到它,它会给你造成不必要的损失。为了防止这种恶意程序,AVG杀毒软件可以及时安装并更新到最新版本。安装AVG的用户可以放心使用你的电脑。