移花接木大法:新型“白利用”华晨远控木马分析

“白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文件后,再次启动白…

继续阅读 →

百足之虫死而不僵——Auto456家族木马的死灰复燃

就在今年上半年,456游戏大厅还是金钱的代名词。一个看起来并不起眼的游戏平台,注册用户却达2000余万,每天获利最高可达100余万。这样的一个游戏大厅,必然是各路木马的兵家必争之地。于是针对456游戏大厅的各种盗号木马、远控木马也都层出不穷。作为一家互联网安全公司,我们当然也是一直在和各类木马作者不断地对抗。怎奈金钱的利益太过诱人,虽然被我们步步紧逼,但木马作者却也从未停止过自己的脚步。 但到今年…

继续阅读 →

远控木马伪造通信协议一例

远程控制木马始终是恶意软件家族中的一个重要成员。之所以说重要,是因为他不像盗号木马、下载者、蠕虫之类的恶意软件那样功能相对单一。远程控制木马的功能就是“控制”,一旦成功控制了受害者的机器,这类木马几乎是为所欲为的。 这正因为如此,远程控制类的木马一直是黑客手中的利器和宠儿。经过多年的演变,不断的变种、无数的分支,虽久杀却不绝。今天我就介绍一例360安全中心刚捕获不久的最新远控木马变种。 长什么样?…

继续阅读 →