恶意程序新趋势-钻粪坑+数签

最近看到一些有趣的样本.跟大家聊聊其中一个名为“XX下载防踢补丁”的恶意程序.它使用了一些特殊却极为有效策略.使自己可以长期逃脱杀软的检查.其中暴露出来的问题或许更值得我们每一个安全界人士的思考.

感染流程及其行为如下:

1. 首先其以XX下载功能插件的名义使用户开心去下载并替换XX下载原dll.
2. 用户放置后发现果然有效果.(真干活,达到用户期望)
3. 加了数字签名.

效果是:

1. 用户是有意识要这样做的.并且完成了用户要完成的功能.
2. 依赖于下载工具.不通过启动项启动.降低了杀软被查阅的可能性
3. 而且杀软不报毒.

显然这不是一张普通的图片:

看看这张具有签名的照片:

经查证里面有刷广告行为还有一个初见成型的远控框架.

详见这里:迅雷防踢补丁：一个刷流量木马的简单分析.

尴尬-什么是可信的?

该不该信任有数字签名的程序?

可以说:拥有数字签名的程序是可信的.但是这种信任来何方呢.如果只依凭签名证书,这其实是责任转移.

正规程序的擦边行为该不该拦?

一些XX影音XX下载软件弹个广告默认下载个游戏什么的.杀软你敢拦?
公关马上哭着喊着骂你祖宗八辈”恶意打击”,”干涉市场”.
软件漏洞怎么了?最新漏洞又怎么了?你安全厂商能把我怎么着?你帮我补吗?
明智的杀软一般都懒得理那一堆大爷.市场份额大的杀软搞搞软件提交二次验证也就算了.

回到咱们的样本,总结起来其利用了杀软的两大”漏洞”:

1. 杀软对一些行为不感冒:扎在常(la)用(ji)程序堆里,由常(la)用(ji)软件启动的.
2. 杀软对有数字签名的程序通常会非常宽容.甚至归为白名单,”偶可是有通关文牒的骏马哟”.

要不是用户反馈电脑太卡偶然被反病毒工程师发现,不知什么时候才能发现这只躲在软件堆里的马.想想不知道还有多少只驴还在翔堆里下崽,就不得不给这个抽脸的样本点个“赞”!

2015年8月15日 晚

致谢

样本来源:

腾讯电脑管家团队

如果您希望看到更多相关文章,请点: