感谢火绒安全的投递

近期有公安、气象等行业若干单位反馈,他们使用“火绒安全软件”检测出VRVNAC“桌面监控”软件携带恶意程序,请火绒确认。经分析,该产品所使用的功能组件(AdvancedAll.dll)遭Ramnit病毒感染,恶意代码被包含在文件的资源数据中,因火绒查杀深度较深,所以会检测出恶意代码。

一、概述

火绒团队早在2015年就发现该产品组件携带恶意代码,并告知过该公司,但问题至今未被解决?;鹑尥哦油撇?,这可能是供应链污染造成的,该组件的编写者开发环境被病毒感染,导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻,也不会造成大面积扩散,但的确是潜在风险。

据了解,这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位,火绒强烈建议该产品供应商尽快排查开发供应链,彻底解决该问题。

二、分析

近期,有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒?;鹑薹治鍪Ψ治龊?,发现该组件(AdvancedAll.dll)的资源文件中的网页资源被病毒感染(火绒检测为:TrojanDropper/Ramnit.f),并且该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。VRV产品及火绒报毒界面,如下图所示:

??榧釉亓斜?/p>

火绒查杀图

签名比较

火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描,所以虽然恶意代码被包含在文件的资源数据中,但是仍会被检测到。如下图所示:

资源文件

被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,如下图所示:

释放svchost

被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件,并将二进制数据(PE文件)写入到已创建的文件,然后执行。提取到的部分代码,如下图所示:

释放病毒文件

当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中,然后遍历全盘并感染EXE、DLL、HTML、HTM文件,用于传播自身。感染逻辑以及运行截图,如下图所示:

感染逻辑

感染后文件

活动入口:

Verisign - 用.com - 亮实力

责任编辑:ugmbbc

对文章打分

VRVNAC软件被查出携带恶意程序 行业用户可能受影响

7 (19%)
已有 条意见

腾讯云

    最新资讯

    加载中...

    今日最热

    加载中...

    新品速递

    热门评论

      相关文章

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan
    • [及时点]整治应用软件乱象不应止于黑名单 2019-06-22
    • 其实,生产力发展了,社会财富丰富了,把小萌们养起来也不是什么问题……但你们不能被养着还养出脾气来还妄图对真正的劳动者指手画脚! 2019-06-15
    • 武汉刚需买房可优先选房 2019-06-15
    • 中国公民出入境排队将不超半小时--旅游频道 2019-06-09
    • 头皮比脸皮还怕老!头发最怕你做这6件事 2019-06-09
    • 统计局:5月份经济运行主要指标呈现五大特点 2019-06-01
    • 央视解读不动产登记体系全面运行 房价会下跌 2019-05-27
    • 【理上网来辉煌十九大】墨西哥专家:未来中国有能力在国际事务上承担更重要的责任 2019-05-27
    • 端午小长假 我省北中部有雨 2019-05-18
    • 湖南《当代商报》工作人员戴石宗在家中遇害,嫌犯已落网 2019-05-14
    • 吕岛的专栏作者中国国家地理网 2019-05-07
    • 无视婚变传闻 王浩信晒与朋友新旧对比照秀友情 2019-05-07
    • 少女与妈妈每年自拍两次 最后一次让十几万人哭了 2019-04-25
    • [微笑]然后所有的诊疗活动全免费……小萌们以为如何? 2019-04-25
    • 行业变革中的房产经纪公司加盟暗战 ——凤凰网房产深圳 2019-04-20
    • 什么事竞彩足球半全场 曾道人报码 双色球红球除4怎么算 德甲的欧战资格 p3开机号今天百度风云榜电视剧 深圳风采历史开奖记录 查今曰大乐透开奖预测号码 棒球游戏规则 曾道人特码大包围 内江彩票中心 百灵的百人牛牛已下架 网球培训 英超足球宝贝波霸视频 广东11选5直播 32张硬牌九