标签:windows 盗号 研究 系统引导 启动 分析 图片 活性 机器
近日,360安全大脑拦截到到一类VBR***,主要通过各类下载器传播,大规模感染用户电脑。由于其具备超强隐蔽性和潜伏性,同时又非常善于传播自身,拥有较强的灵活性,因此360安全专家将其命名为“逆鬼”。“VBR”全称Volume Boot
Record(卷引导记录),负责操作系统引导程序的加载,它比Windows更早启动。所以,一旦VBR被***感染,恶意代码便会获得隐蔽的生存空间,难以被传统杀毒软件检测到,而此次360独家发现了“逆鬼”行踪。
据360安全研究人员分析,“逆鬼”在顺利通过下载器到达目标机器运行之后,首先会释放白利用文件到temp文件夹目录下,然后以此作为掩护,进行后续***行径。
其实,一般的为了一次性获取更多的利益,在执行挖矿、盗号、DDoS等恶意操作前,都会先感染一定数量级的用户,然后再“集中引爆”。而这次的“逆鬼”却提前夭折:在前期传播阶段还未进行到一定程度时就被360安全卫士率先发现,如此一来,别说还想扩大感染范围、牟取更多利益了,就连传播该的下载器也一并被360安全卫士斩草除根。
标签:windows 盗号 研究 系统引导 启动 分析 图片 活性 机器
原文地址:http://blog.51cto.com/13562306/2331070
