“食猫鼠”病毒灰色产业链(含详细分析报告)
&食猫鼠&样本主要通过虚假***播放器等流氓软件的捆绑***进行传播,感染主机会被强制***多款软件,病毒通过篡改快捷方式、Hosts文件等方式劫持用户电脑的导航网站流量
病毒导入根***伪造数字签名逃避软件查杀与防御,还尝试使用网络过滤驱动屏蔽杀毒软件的升级与云查杀。
&食猫鼠&样本作为典型的推广类病毒,对于当前国内病毒传播的流行形势具有一定的代表性。
本文尝试通过对样本行为、传播源头的相关分析,溯源追踪其幕后黑手,揭露国内流氓推广类病毒传播与牟利的灰色产业链
[一]:病毒样本行为分析
&食猫鼠&病毒运行流程简图
&食猫鼠&病毒捆绑在一款名为&好爱FM收音机&的流氓软件中,主要通过一些***站点和站点的诱导虚假下载链接进行传播。
样本使用语言编写,通过多层Loader模块的解密与内存加载执行,下载运行最终功能模块,样本分析同样按Loader层和功能模块层分为两大部分。
一、Loader层分析
1、静默***&爱好FM收音机&流氓软件,然后解密病毒模块A,直接在内存中加载运行。
2、模块A访问http://jsion./favicon.ico,读取解析其中隐藏的下载链接并解密,然后访问此链接下载模块B,解密后再次内存装载运行。
3、模块B的主要功能包括病毒运行环境检测、流量渠道标记保存、后续恶意模块释放以及***统计数据发送等:
1)、病毒运行环境检测,主要是为了对抗分析检测。使用的手法也比较常规,包括简单的反调试、特权指令反、遍历检测窗口是否存在安全工具以及是否存在网吧管理程序进程等。
2)、保存推广渠道流量标记信息到注册表,方便后续模块根据流量ID读取对应的配置信息。
渠道标记信息:&fifm_s1_1030& (文件名)
标记信息格式:fifm_渠道标识_***包标识
注册表:HKEY_CURRENT_USER\\SOFTWARE\\_alt
3)、释放资源中包含的MSI程序包(模块C)到临时目录(~DFAN9FP.tmp),调用msiexec.exe以静默参数解析***。
4)、获取主机的MAC地址、系统版本以及***包路径,后发送到远程服务器。
数据包信息:000XX9B704C2|Hide|5.1.2600.Service Pack 3|C:?fifm_s1_1030.exe|1
统计后台地址:/_one/GetState.x?Login=
4、模块C实际为msi格式的***包程序,使用rootsupd.exe工具导入根***,为加入恶意代码的IDriverT.exe伪造数字签名,企图逃避安全软件的查杀与防御。
MSI包文件列表:
IDriverT.exe:作者修改某款delphi程序(个人电脑助手v1.3),在其中添加了恶意代码后重新编译。
RCImage.skn:IDriverT.exe的依赖模块,实际为VMProtect的SDK动态库文件。
~DFDE9FD.tmp:实际为rootsupd.exe,用于更新系统根***列表的命令行工具。
~DFCCBFE.tmp:根***文件,伪造Symantec Corporation签名。
5、IDriverT.exe在正常程序的基础上添加恶意代码后重新编译,运行以后解密模块D,继续内存加载运行。
6、模块D访问远程服务器下载/data/_Config.dat(模块E),解密后继续在内存中直接加载运行。
7、模块E同样将如下格式信息加密后发送到另一***统计后台服务器,可以看到此次的病毒变种版本为v1.6.1;然后与模块B一样再次对病毒运行环境进行检测;
最后检测?_lost_downfile_mod_?互斥事件是否存在,如果存在则发送另外一条***统计信息后退出,不存在则进入后续模块下载的逻辑分支。
明文数据A:000XX97C9DA6|v1.6.1|5.1.2600.Service Pack 3|C:\Temp?IDriverT.exe|0
统计后台A:/set_index.php?Ver=
明文数据B:000C297C9DA6|v1.6.1|5.1.2600.Service Pack 3|C:\Temp?IDriverT.exe|0#0#0#0#0#2
统计后台B:/set_stat.php?Ver=
8、模块E后续下载逻辑分支:发送***统计数据包,返回数据为渠道的***位置量,如果小于100则sleep十分钟后退出进程,否则开始下载白文件DumpUper.exe和恶意模块F到临时目录,读取恶意模块F解密后注入到白文件进程中运行,命令行参数为&1&。
注入方法为常规手法,以挂起方式启动白文件进程,卸载原进程镜像内存后重新申请,拷贝自身并修复导入表,修改线程上下文,将目标进程OEP指向自身入口,最后恢复进程运行。
明文数据:000XX97C9DA6|v1.6.1|5.1.2600.Service Pack 3|C:\Temp\IDriverT.EXE|0
统计后台:/set_index.php?Ver=
白文件链接:/data/1.jpg
文件目录:%temp%/DumpUper.exe [360杀毒的dump上报进程文件]
模块F链接:/data/6.jpg
文件目录:%temp%/YYM_JFFMEHN9_S%T955WD38.jpg [加密文件]
9、模块F首先检查&_Lost_Jump_Mod_1&互斥事件是否只存在,存在则退出进程;如果进程参数为&0&或&1&则将模块F重新注入自身白进程,命令参数为&2&;如进程参数为&2&则删除模块F文件,下载模块G注入自身进程继续运行,启动参数为渠道标识信息。
模块G链接:/data//2.jpg
10、模块G读取服务器配置信息,开始下载真正的工作模块。模块G取命令行参数解密获得渠道标记,开启定时器访问:8080/GetLog.html获取配置信息,根据自身渠道标记去读取对应的配置信息,二次解密后再进行格式化解析,下载链接信息,开启线程下载执行各模块。
1)访问:8080/GetLog.html获取配置信息,共26条有效数据,可以推测出此变种目前最少有26个流量渠道进行推广,格式如下:
2)获取上面的配置信息后,模块G根据自身的渠道ID读取对应的条目,进行两层解密,然后进行格式化解析,结果如下:
3)模块G接着开启线程按照格式化后的数据进行下载***,本例中推广软件***包为百度杀毒、百度卫士以及UC浏览器,下载***包到配置信息中的指定目录;其他[self]标签的模块为自身工作模块,其中12.jpg为推广包***模块,4.jpg为浏览器快捷方式篡改模块,8.jpg为hosts文件劫持模块,test.exe为网络驱动对抗模块,以上[self]类工作模块下载完成后通过白文件DumpUper.exe进程注入启动。
主要工作模块功能列表:
/data/test.exe [网络驱动对抗模块]
/data/3.gif [链接失效]
/data/12.jpg [推广包***模块]
/data/4.jpg [浏览器快捷方式篡改模块]
/data/8.jpg [hosts文件劫持导航模块]
二、功能模块层分析
1、网络驱动对抗模块
网络过滤驱动对抗模块流程简图
本模块主要尝试加载TDI过滤驱动来屏蔽主流杀毒软件进程访问网络,屏蔽杀毒软件升级逃避云查杀。主要流程如下:
1)、下载百度杀毒软件压缩包释放,释放资源文件BDLiveUpdate.exe、dl.dll以及twain.dat,创建服务启动BDLiveUpdate.exe进程,在被白进程主动加载的dl.dll中解密twain.dat模块,然后内存加载运行。
百度杀毒压缩包:/cfdown/bd_data.zip
释放目录:C:\Program Files\Baidu\BaiduLiveUpdate\
服务信息:
ServiceName = &BDLiveUpS&
DisplayName = &BDLiveUpdate Service&
BinaryPathName = &&&C:\Program Files\Baidu\BaiduLiveUpdate\BDLiveUpdate.exe&& -Embedding&
2)、twain.dat模块为BDLiveUpSvc服务的控制函数,主要负责后续网络过滤驱动的加载。创建VolStub驱动服务,根据操作系统类型释放相应x86/x64的网络过滤驱动文件并启动此驱动服务,随后释放另一份驱动文件(白文件:SscRdCls.sys)替换掉volstub.sys,再删除VolStub驱动服务。
X86/X64版本的驱动文件签名:(X86版本数字签名是通过导入根***伪造的)
3)、随后尝试打开网络过滤驱动设备,如果成功则联网下载http://jsion./data.json并解密,内容为主流杀软的进程列表,然后通过DeviceIoControl将格式化后的杀软进程列表数据发送给驱动程序。
4)、网络过滤驱动程序内容比较简单,通过挂载tcp/udp驱动设备,对常见杀毒软件进程访问网络进行过滤屏蔽。
2、推广包***模块
本模块主要负责前面下载的推广软件包的***,根据下载模块传递的命令行参数进行***,参数分别为***目录环境变量、推广包名、***后进程名称。
1)首先检测是否存在常见的网吧管理程序进程,存在则不进行***。
2)检查指定目录下的推广包是否存在,如果存在判断相应进程名是否存在,防止重复***。
3)解密DmpUper.exe(360杀毒白文件)作为宿主傀儡进程,将***包程序注入其中运行,循环继续下一个***包的***。
4)统计***成功结果数量,如果为0则获取当前系统环境信息上传到远程FTP服务器,信息内容主要包括系统信息、活动窗口程序、系统进程列表以及桌面截图等。
5)发送***统计信息到远程服务器。
数据包明文:000C2915324A|v1.5.1|5.1.2600.Service Pack 3|def_def_def|1#0#0#1#0#0
统计后台A:/set_stat.php?Ver=
统计后台B:/two/GetState.aspx?Login=
3、浏览器快捷方式篡改模块
本模块主要通过修改浏览器快捷方式的属性实现篡改主页功能。
1)、访问/Model/url_mod.html配置链接,按启动参数指定的渠道标记读取对应的配置条目,解密后内容如下:
2)、修改注册表,隐藏系统桌面原生Internet Explorer图标。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\]
NewStartPanel:&{871C-***-A2EA-D}&=dword:
ClassicStartMenu:&{871C-***-A2EA-D}&=dword:
3)、读取注册表获取桌面、开始菜单、快速启动栏等目录,遍历目录对快捷方式等文件进行过滤,删除其他网页快捷方式,按配置信息篡改主流浏览器快捷方式的目标属性,修改为病毒指定的导航网站。
4、hosts文件劫持导航模块
本模块主要通过修改hosts文件劫持域名解析,将hao123等常见导航网站引导到自己的服务器上,通过自己导航站点的广告推广赚取利润。
1)、读取注册表解析自身的渠道标记,访问:8080/GetIp.html配置链接,解密获取对应劫持IP的信息。
2)、遍历进程检查是否存在qqpcrtp.exe(腾讯管家进程),如果存在则放弃修改,否则将常见导航网站的域名加上劫持IP写入到hosts文件中。
导航网站劫持列表:
/ 123.duba.net /
/ www.256.cc /
通过上述的分析可以看出&食猫鼠&病毒所使用的对抗技术手段并不是特别高深,但是另一方面又具有一定的代表性,体现在以下几个部分:
1、样本loader部分使用多层的模块内存加载。loader进行解密再内存加载配合&白加黑&技术,已经成为对抗杀毒查杀的常见手法,部分情况下可以绕过杀毒查杀拦截。
2、修改正常软件源码添加恶意代码后重新编译。在大量的正常代码中混合一小段的loader代码,对杀毒引擎的鉴别能力和人工病毒分析都提出了更高的要求。
3、在系统中导入根***伪造正常签名。可以绕过部分对文件数字签名验证逻辑不够严谨的安全软件。
[二]:样本追踪溯源
&食猫鼠&样本溯源简图
每一个热点病毒的传播过程都并非孤立事件,从样本编写、传播渠道、牟利方式以及到最终的受害用户,各个环节往往都是紧密关联的,&食猫鼠&病毒同样如此,通过对样本暴漏的信息以及安全统计数据的分析,尝试对&食猫鼠&病毒进行样本溯源,追踪病毒传播链条的幕后黑手。
1)、通过对病毒关联域名的历史解析数据分析,可以此流氓软件的推广从2014年初开始,变种文件最少在30个以上,本次新变种从2014年8月份左右开始传播,大多通过诱导站点的流氓软件捆绑传播,涉及到的推广渠道多达数十个。本次变种使用的推广域名与服务器在编写分析报告时已经关闭,病毒作者可能更换了新的下载域名和渠道,后续传播情况有待进一步的监控。
传播渠道域名关系简图(部分数据)
2)、部分病毒作者缺乏基本安全意识,经常使用邮箱、FTP服务器等方式上传信息,导致帐号密码信息暴漏。&食猫鼠&样本尝试上传到FTP服务器上的信息主要包括两类:***失败和对抗监控,主要内容为系统环境信息和桌面截图。从FTP的上传文件中我们可以看到一些比较有意思的内容:
(1)、信息上传按日期创建目录,从8月11日到8月23日,这也说明本次新变种从近期开始传播;上传信息主要为系统环境和桌面截图,从部分感染用户当时的系统环境分析看,主要是被诱导***了一些虚假***播放器(例如优播视频等流氓软件),这些软件往往也捆绑***了其他的的流氓病毒,在&刚需&的作用下不少用户面对杀毒拦截选择了放行。
(2)、用户在访问一些安全软件时也会触发上传策略,其中大多为用户中招以后无法升级杀毒软件,访问论坛进行求助。从上传信息分析来看,很明显实际情况并非像某杀毒厂商对外宣传的很早就可以完美查杀修复,更不存在所谓的&凭借云查功能的某一特殊保护机制,是目前唯一未被&食猫鼠&阻断云安全服务的安全软件 &。安全宣传应该本着实事求是的态度,这样才能真正帮助用户解决问题。
(3)、病毒作者在测试样本的时候也上传了一些调试信息,包括系统信息、代码截图等。可以发现一个有趣的细节,作者当时正在浏览一篇网页&DELPHI中MessageBox的用法&,从这个细节中我们可以看出作者可能是个delphi的初学者。
3)、同样在对病毒使用的某统计后台进行检测时,发现统计程序和服务器配置存在安全,导致统计后台程序的源码泄漏,进而获取到相应的帐号密码信息,后续渗透拿到了部分病毒服务器的管理权限。通过对病毒服务器文件的进一步分析,获取到&食猫鼠&病毒的传播统计数据和病毒作者的其他信息。
(1)、病毒统计后台程序存在安全漏洞,数据库操作语句也未进行安全过滤操作,还可以看到作者针对不同推广渠道进行扣量的设置。
(2)、后续渗透得到部分病毒后台服务器的管理权限,通过进一步分析,掌握了&食猫鼠&病毒样本传播的历史统计数据以及病毒作者的其他信息。
从&食猫鼠&病毒的后台***统计数据中可以看出,本次新变种的传播感染量较高,在8月8日前后达到日感染量近9万最高峰,在总共一个半月的时间里,累计感染量达到95万。
[三]:互联网灰色产业链的一角
国内互联网的推广行为一直以来缺乏严格的规范和监管,在利益的熏陶下衍生了非常多的灰色地带。被利益纠结在一起的流量圈内角色关系复杂,有时其中一环就覆盖了链条上的多个角色。
庞大的国内互联网市场作为一块蛋糕,有人通过出色的产品赢得用户,有人则伸出黑手在背后暗暗蚕食。
&食猫鼠&样本作为一例典型的流氓推广类木马,一个多月的传播感染量就多达近百万,其本身载体就是一款流氓软件,而推广渠道也大多是通过其他流氓软件进行捆绑***。
一方面通过******某杀毒软件赚取推广费用,另一方面通过劫持导航网站赚取广告费用。
一款杀毒产品最终通过病毒木马被***到用户电脑上,不得不说这是一种尴尬和讽刺,也暴漏了软件厂商对产品推广监管的缺失,通过强制手段的推广***也很难得到用户的真正认可。
流氓软件的本质,一方面体现在其流氓推广方式上,往往是隐蔽、强制和暴力的;另一方面流氓软件很大程度上是个空壳软件,并没有为用户带来应有价值,带来的是系统资源浪费和各种频繁骚扰;
最不容忽视的一点是其往往暗藏病毒木马,在利益追求的引导下,推广者想尽办法通过一台电脑的***流量榨取十份的推广回报,用户电脑最终只能沦为赚取推广费用的傀儡,甚至最后被装上各类木马病毒,严重影响用户。
近年来流氓软件的传播增长趋势非常迅猛,加上与之伴随的流量类、推广类木马,已经日益成为国内互联网安全的一大毒瘤。用户作为流氓软件的最大受害者,不仅要遭受推广骚扰和安全威胁,最终可能还要为厂商推广费用的超额部分买单。
流氓软件安全问题的解决,需要用户自觉抵制各类诱导软件,需要部分厂商联盟加强监管,规范自身的推广行为,也需要各安全公司增强针对性的查杀清理方案,为用户提供更全面及时的安全保护
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix' 上传我的文档
下载
收藏
该文档贡献者很忙,什么也没留下。
下载此文档
正在努力加载中...
CD4CD8T淋巴细胞在3型鼠肝炎病毒诱导的鼠慢性肝炎中的作用
下载积分:999
内容提示:CD4CD8T淋巴细胞在3型鼠肝炎病毒诱导的鼠慢性肝炎中的作用
文档格式:PDF|
浏览次数:1|
上传日期: 02:32:57|
文档星级:
该用户还上传了这些文档
CD4CD8T淋巴细胞在3型鼠肝炎病毒诱导的鼠慢性肝炎中的
官方公共微信淋巴细胞脉络丛脑膜炎是由LCM病毒感染引起的.分析下列有关此病毒的实验,其主要目的是( )A.对感染小鼠体内的病毒量进行测定B.研究效应T细胞的免疫效应C.检测病毒刺激淋巴细胞增殖的作用D.分析浆细胞产生抗体的能力
字母褂??瓴
当小鼠感染病毒后,由于病毒寄生在宿主细胞内,所以进行细胞免疫,产生效应T细胞.把效应T细胞与被病毒感染的小鼠细胞混合培养,测定上清液的放射性,最终能说明效应T细胞能与靶细胞密切接触,诱导靶细胞细胞凋亡,最终使病毒暴露在细胞外.故选:B.
为您推荐:
据图分析,LCM病毒感染小鼠,产生特异性免疫,分离出淋巴细胞,加入被LCM病毒感染的51Cr标记的同种小鼠细胞(靶细胞),能检测到上清液中含有放射性,说明效应T细胞使得靶细胞裂解.
本题考点:
人体免疫系统在维持稳态中的作用.
考点点评:
本题考查免疫调节和生物实验,理意在考查学生识图能力和判断能力,运用所学知识综合分析问题和解决问题的能力.
扫描下载二维码您所在位置: &
 &  & 
猿猴空泡病毒40(SV40)T基因的克隆和表达及其多抗在转基因小鼠中的应用.pdf45页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
文档加载中...广告还剩秒
需要金币:200 &&
猿猴空泡病毒40(SV40)T基因的克隆和表达及其多抗在转基因小鼠中的应用.pdf
你可能关注的文档:
??????????
??????????
猿猴空泡病毒40 SV40 T基因的克隆与表达 及其多抗在转基霞小鼠中豹应用 研究生:孙海燕 导师:李脬达教授 中文摘要 猿猴空泡病毒40 SV40 是60年代初发现分离的猴肾细胞病海,它是一种
DNA病毒,其谯体外可使人及动物多种缎织类型正常绷胞发生恶性转化,在转基
戮小嚣缮内哥诱发多耪瓣瘸形成,芽豆入樊诲多黪癌豹发生氇与之鸯关。透年来,
人们对SV40岛人类肿瘤韵关系进行了太髓的研究。本炭验室建立的SV40转基因
小鼠肿瘤模型多发胰腺癌,为进一步研究SV40与肿瘤发生的关系,为人们研究癌
壤豹病毽、发瘸极理戳及治瘳提供有力的工具封下坚实懿基础。 T基因序 本文逶过掏提COS.1编臆总RNA作为模板,掇嚣GenBank中SV40 T基因片段,克隆到
列设计一对引物,用RT-PCR技术扩增出921bp的Sv40
pGEM.T T基因嚣段
蒸嚣静下游,获褥豹重錾震较转纯丈瑟移蘧Bb ,臻IPTG诱导SV40
为53kDa。用该表达产物免痰新西兰大白兔,所制备的抗血清经间接免疫荧光实骏 《IFA 显示弼岛COS一1缨熬发生特晏性爱瘟,表爨袋麓丈嚣杼蔻缀羧表达系统掰
液达的融合蛋岛具有SV40T抗原的免疫琢性。 用所制备的兔多抗血清 多克隆抗体IgG 为一抗,对本实验室的不同发育时
期驰SV40转蕊困小鼠的各爨簧***和脾瓣组织进行SABC法免疫缎织化学检测,
袭现只畜发癣小鬣觞髀瘗绦缀缀魏有特器经懿棕***鬏簸,呈阳瞧菠应,表羁囊
予SV40T抗原的表达使得藏常的胰腺细胞发生恶性变化,从而导致肿瘤组织的形
成,并且所表达的SV40T抗原大多数在绷胞核内,进一步验证了SV40T抗原大部
分定霞手绥藏核蠹,表明大覃撬覆鸯缨熬转纯痘动痰爨嚣豹,对转纯起决定终蹋。 岛文献报道楣符。其它脏器均为阴性反威。因此自
正在加载中,请稍后...