吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

领取今日签到奖励
查看: 2130|回复: 52

[PC样本分析] VRVNAC软件携带恶意程序 公安等行业用户可能受影响

  [复制链接]
发表于 2019-3-12 19:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
一、        概述
近期有公安、气象等行业若干单位反馈,他们使用“火绒安全软件”检测出VRVNAC“桌面监控”软件携带恶意程序,请火绒确认。经分析,该产品所使用的功能组件(AdvancedAll.dll)遭Ramnit病毒感染,恶意代码被包含在文件的资源数据中,因火绒查杀深度较深,所以会检测出恶意代码。
火绒团队早在2015年就发现该产品组件携带恶意代码,并告知过该公司,但问题至今未被解决。火绒团队推测,这可能是供应链污染造成的,该组件的编写者开发环境被病毒感染,导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻,也不会造成大面积扩散,但的确是潜在风险。
据了解,这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位,火绒强烈建议该产品供应商尽快排查开发供应链,彻底解决该问题。

二、        分析
近期,有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒。火绒分析师分析后,发现该组件(AdvancedAll.dll)的资源文件中的网页资源被病毒感染(火绒检测为:TrojanDropper/Ramnit.f),并且该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。VRV产品及火绒报毒界面,如下图所示:
模块加载列表

火绒查杀图
签名比较

火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描,所以虽然恶意代码被包含在文件的资源数据中,但是仍会被检测到。如下图所示:
资源文件
被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,如下图所示:
释放svchost
被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件,并将二进制数据(PE文件)写入到已创建的文件,然后执行。提取到的部分代码,如下图所示:
释放病毒文件
当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中,然后遍历全盘并感染EXE、DLL、HTML、HTM文件,用于传播自身。感染逻辑以及运行截图,如下图所示:
感染逻辑

9.png (185.92 KB, 下载次数: 0)
下载附件37 秒前 上传
感染后文件

免费评分

参与人数 3吾爱币 +5 热心值 +3 收起 理由
自强 + 1 + 1 用心讨论,共获提升!
201 + 1 + 1 我很赞同!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2019-3-12 20:44
!!!公众号一小时前发的,就这样原封不动扒来发帖,可太优秀了您嘞!!!

VRVNAC软件携带恶意程序  公安等行业用户可能受影响
http://bbs.huorong.cn/thread-55273-1-1.html
(出处: 火绒安全软件)
发表于 2019-3-14 22:32
notpasser 发表于 2019-3-14 09:41
说实话,我一直是比较支持火绒的,因为它没广告,不像360。但是前几天我朋友碰到一个U盘病毒,自动隐藏文件 ...

和你一样,上次公司财务电脑刚安装的系统,叫税务局的人来安装税务软件插了他们的U盘,第二天C盘Program Files就被锁,安装软件都安装不进去,怎么弄都不行,后面只能重装,重装完就安装了eset nod32,后面又换了一个人来安装税务软件,这次他听说昨天的事就不插U盘了,从网上下载了,这次安装就没事。
发表于 2019-3-12 19:48
发表于 2019-3-12 19:49
大佬也是6啊
发表于 2019-3-12 19:50
目测此贴要加精
提前恭喜楼主贺喜楼主
发表于 2019-3-12 20:03
内网无所谓的吧,就是电脑卡点
发表于 2019-3-12 20:04
楼主牛皮赞一个
发表于 2019-3-12 20:21
从来没有听说过这个软件,下载下来用用,之前用的360
发表于 2019-3-12 21:00
火绒还是不错的,上次我主页被劫持,就是火绒技术人员远程帮忙的。
发表于 2019-3-12 23:50
勉旃 发表于 2019-3-12 20:44
!!!公众号一小时前发的,就这样原封不动扒来发帖,可太优秀了您嘞!!!

VRVNAC软件携带恶意程序  公 ...

楼主就是火绒的人吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-3-19 18:38

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表