记录一次Win10莫名其妙被植入一个恶意软件

最新推荐文章于 2025-02-21 10:27:50 发布
最新推荐文章于 2025-02-21 10:27:50 发布
阅读量1.8w 收藏 4
点赞数 9
分类专栏: 信息安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lp8800/article/details/106869134
版权

众所周知现在的Win10的安全性已经很高了,并不会出现像是在XP时代机器因为开放了一些端口就莫名其妙被植入恶意软件的情况。但是今天我就莫名其妙遇到了这个问题。
 

今天早晨开机后本机的某绒查杀了一个病毒软件,某绒对其的病毒标记为:BackDoor/MemoryDll ,这让我很纳闷了,平常我也不怎么下载一些乱七八糟的软件啊,怎么会就被植入这种莫名其妙的东西呢?文件路径被植入在:

C:\Users\[用户名]\AppData\Local\zgshopmQd\zgshopmQd.exe文件。说明植入到该文件是一个不具备SYSTEM权限的进程,

我立即调出该文件正准备一探究竟,立即发现该病毒文件居然有签名!

右键属性后有数字签名

 

该exe文件不但有数字签名,文件元数据居然是中文的。见下图:

查看一下“详细信息”,更是惊喜,文件描述等居然都详详细细的写的都是中文的:

这就是告诉你,我们就是一个合法的软件下载安装器啊,

我们继续照着数字签名的名称下手,嗯,

时间戳服务是赛门铁克的,

证书颁发者是大名鼎鼎的DigiCert:

好么,证书花了钱的。然后就在用户电脑中行蝇营狗苟之事。

好,我们来看一下这是什么公司:

Sichuan Zhiling Times Network Technology Co., Ltd.

通过一定手段的搜索,我们找到了这家公司的中文名称:

四川智领时代网络科技有限公司

我们继续搜索:

只是百度了这么一下,还没点进任何一个链接就发现了一些字眼: “卸载不完全”、“反复安装”流氓软件、等等等,发现这个软件本身就已经臭名昭著一段时间了,这不得不让我想起了20年前叱咤中文互联网的流氓软件大BOSS:

3721上网助手

这倒霉玩意儿当年有多恐怖?

就这倒霉玩意儿当年感染了所有学校的机器,每台机器除了重装系统的方法外,就只有深入到rootkit 0 甚至更深层的系统权限去删除注册表键,否则即便是删除了软件,仍然存留着病毒文件进程,无法删除文件(安装器恶意文件通过系统hook进行自保护)等等一系列现代安全软件自保护手段去保护病毒文件,然后就是超级权限注册表键,操作系统权限都无法删除…… 简直罄竹难书

 

幸好某绒挡住了该文件,阻止了该文件的运行。

 

否则我工作量就大了。

 

对于该文件,这是国外的综合杀毒和扫描站的报告:

https://www.freefixer.com/library/file/Telshan.exe-298615/

通过多方网友的报告:

https://tieba.baidu.com/p/6439096142

我发现我还曾经在电脑上真的中过这个病毒,,但是那已经是去年重装系统以前的事情了 ,当时发现以后就手动杀干净了,没想到今天又出现。

本来这并不是什么大事,问题在于,这个文件它究竟是怎么来的。我电脑上使用的国产软件并不多,常驻的国产软件的进程无非就QQ输入法、QQ和向日葵远程控制以及某绒。QQ公司很大不差钱,那剩下的就是……向日葵? 上海贝锐应该不至于干这种事情。

我平常大多数只用只下载开源软件使用,然而

究竟是什么软件把这个恶意文件带进来的呢?

 

这件事还真是有待调查。

 

推断1、其实大公司是肯定被首先排除的,因为他们搞钱没必要从这么下作的渠道搞。

推断2、某种压力迫使大公司通过大众性软件,例如QQ、微信等软件下发恶意软件,这个神秘力量自己猜吧。我猜是共济会。

推断3、微软Win10操作系统存在某个0day漏洞,由于某个开放的端口存在某种漏洞,导致栈溢出代码执行漏洞被利用。

推断4、下载的某些“合法”文件,其实自己存在某个宏写入到系统的数据。比如Office的VBA宏。但是至今我没有发现我电脑上存在哪个合法的office文件给我带来惊喜。

推断5、pdf文件读取器漏洞。我比较喜欢下载pdf。

 

就在本文首次发布的当日,我发现火绒官方居然也发布了跟我相同的一种病毒的报告:

https://zhuanlan.zhihu.com/p/149300641

https://www.huorong.cn/info/1592489908487.html

 

 我的推断被缩小范围到:2、3。其他的可能性变小了。

 

火绒在发不了上次的报告后,也就是本文发布的5天后,我发现火绒又发布了一则报告:

https://www.huorong.cn/info/1592912077490.html

我这才发现,确实有可能是向日葵可能存在某种协议漏洞,漏洞被利用来植入这个病毒文件。虽然思路不一样,但是我在考虑其实这家公司是披着合法软件外衣的黑客公司,专门钻研TeamViewer和向日葵这类软件,对其进行修改和反向工程,协议自然也不在话下,那么这些软件远程协议本身可能存在的漏洞就会暴露在这些人的分析之下,是极有可能被人利用一把来植入病毒文件的。所以没有特殊需求的话,尽量不要让TeamViewer和向日葵开机长时间启动,而是随用随开,以减少远程控制协议端口长时间暴露的机会。

 

 

 

 

 

记录一次电脑被入侵用来挖矿的过程(Trojan、Miner、Hack、turminoob)
Huanzhi_Lin的博客
01-05 5629
Trojan turminoob、hack、miner、挖矿、木马
02 windows网络安全
weixin_43234021的博客
01-04 1961
一 DNS欺骗、ARP攻击及钓鱼网站制作 1 背景 钓鱼者运用社会工程学(social engineering)知识诱骗受害者,以在未授权情况下获取对方的姓名、年龄、邮箱账号、甚至是银行卡密码等私人信息。 钓鱼往往和社会工程学相结合进行诱导,而社会工程学是黑客的内功,能否灵活运用可以体现一个黑客的个人修为,所以说防人之心不可无这句话并非没有道理,凡事不要害人但是总要留个心眼否则最终受伤的就是自己。 社会工程学黑客常见伎俩: 电话号码欺骗 利用坏消息作案 滥用网民对社交等网站的信任 二维码引诱 本案例利用
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
m0_53419552的博客
06-30 1万+
乱下东西导致挖矿病毒Trojan,CoinMiner的解决记录
【2025版】最新内网渗透之远程控制软件利用总结!从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
02-21 575
在内网渗透过程中,会碰到远程控制soft或者其他,这里针对远程控制软件做如下总结。
37所国家示范性软件学院
数据库天地
09-06 782
37所国家示范性软件学院 1 北京大学 软件与微电子学院 School of Software and Microelectronics, Peking University ...
软件设计师-5.软件工程基础知识
chenjian723122704的专栏
05-01 2861
5.1 软件工程概述 5.1.1 软件生存周期 软件:包含程序、数据及相关文档。 软件工程:涉及到软件开发、维护、管理等多方面的原理、工具与环境。最终的目的是开发高质量的软件。 目的:提高软件生产率、提高软件质量、降低软件成本。 声明周期:问题定义 -> 可行性分析 -> 需求分析 -> 总体设计 -> 详细设计 -> 编码和单元测试 -> 综合测试 -> 维护。 问题定义:要解决的问题是什么 可行性分析:研究问题的范围,是否值得去解决,是否有可行的解
面向可复用的软件构造技术
gary101818的博客
06-28 504
一、软件复用性 软件复用分为两个方面:面向复用编程(开发出可复用的软件)和基于复用编程(利用已有的可复用软件搭建应用系统) ,从而降低成本和开发时间,实现标准化,并让系统更加可靠、稳定。 高复用性的软件应简单、可移植性和兼容性好、灵活、可扩展、通用和参数化、模块化、将变化限制在局部、稳定。要考虑复用的机会有多频繁、代码有多大。 二、可复用性的层次和形态 1.概念: 最主要的复用是在代码层面,但是软件构造过程中的任何实体都可能被复用(需求、设计、规约、数据、测试用例、文档) 2.两种分类: 白盒复用:源代码
1.19其他
Bei_yue的博客
01-19 144
一,1728 1,不会。 2,c++匿名函数的用法
网络安全笔记(Day4)
gentle、待人的博客
05-31 2174
目标: 1.NTFS安全权限 2.文件共享服务器
WIFI无线网络技术详细分析
wyqwilliam的博客
12-30 2万+
WIFI无线网络在无线局域网的范畴是指“无线相容性认证”,实质上是一种商业认证,同时也是一种无线联网技术,以前通过网线连接电脑,而无线保真则是通过无线电波来连网;常见的就是一个无线路由器,那么在这个无线路由器的电波覆盖的有效范围都可以采用无线保真连接方式进行联网,如果无线路由器连接了一条ADSL线路或者别的上网线路,则又被称为热点。 无线网络是一种能够将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。Wi-Fi是一个无线网络通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance
WriteMemory 写内存
04-15
按键精灵插件,向内存中写入浮点类型,放在按键精灵的 plugin 文件夹下就可以使用,可以成功向 武林外传 写入坐标
dd软件dd软件dd软件
11-25
dd软件dd软件dd软件dd软件dd软件dd软件dd软件
狂神说笔记之Redis
gouzhengju1454的博客
06-06 2168
nosql Nosql概述: 为什么要用Nosql 单机MySQL的年代! 在90年代,一个网站的访问量一般不大,用单个数据库完全可以轻松应付! 在那个时候,更多的都是静态网页,动态交互类型的网站不多。 上述架构下,我们来看看数据存储的瓶颈是什么? 1. 数据量的总大小,一个机器放不下时 2. 数据的索引(B+ Tree)一个机器的内存放不下时 3. 访问量(读写混合)一个实例不能承受 如果满足了上述 1 or 3个,进化.... DAL:数据库访问层 启动Redi...
windows下的内存型下载者病毒
晓月的专栏
12-19 4914
基本思路是 step1 提权 step2 得到指定函数的指针 step3 打开目标进程(这里用的是浏览器的进程) step4 把病毒的线程写入宿主进程里 step5 让宿主进程执行病毒线程 step6 病毒线程从网上下载特定的文件并且执行
win10避免自动删除程序文件(疑似病毒)
热门推荐
hongweigg的专栏
04-24 23万+
问题:在WIN10中,疑似病毒的程序会可能被自动删除,这在某些场景下令人十分讨厌。怎么避免WIN10自作主张,将正常文件删除呢?解决:思路:在win10安全中心中设置文件夹或文件排除项,避免被误杀。1、打开Windows Defender2、点左下侧齿轮图标3、找到“‘病毒和威胁防护‘’设置”4、添加文件所在目录排除项5、然后再在排除项设置目录中打开或解压文件。...
被恶意植入vConsol
01-21
### 如何解决被恶意植入 vConsole 的问题 当检测到服务器上的应用程序或服务被恶意植入 `vConsole` 或类似的调试工具时,这通常意味着攻击者可能利用了某些漏洞来注入这些组件。为了有效应对这种情况并防止未来的入侵行为,建议采取以下措施: #### 1. 安全审计与风险评估 进行全面的安全审查,识别潜在的风险点以及现有安全策略的有效性。检查是否有任何异常活动记录,并分析日志文件以了解攻击的具体方式。 #### 2. 清除已知威胁 移除所有未经授权安装的软件包和服务实例,特别是那些来自不可信源或者未经过验证版本的应用程序。对于 Redis 被感染的情况,在 CentOS 7 中由于使用默认配置而导致端口暴露从而遭受攻击[^1],应当立即停止受影响的服务进程,并清理残留的数据和设置。 ```bash sudo systemctl stop redis.service ``` 接着删除含有恶意代码的部分,如果确认整个数据库都受到了污染,则考虑重置数据集。 #### 3. 更新补丁与强化防护机制 确保操作系统及其上运行的所有应用都是最新状态,及时打上官方发布的修复补丁。针对 Web 应用层面存在的安全隐患,可以参考有关 DNS 劫持引发的问题描述[^2],加强对域名解析系统的监控力度,同时部署防火墙规则限制不必要的外部连接请求。 #### 4. 权限管理优化 调整文件夹及重要文档的访问控制列表(ACL),遵循最小特权原则分配必要的操作权限。例如,在 Linux 平台上可以通过 chmod 命令修改特定目录下的权限位组合[^4],阻止非授权人员随意更改关键资源的内容。 ```bash chmod go-w /path/to/protected/directory/ ``` 上述命令会去除指定路径下对象对组和其他用户的写入能力,减少意外破坏的可能性。 #### 5. 实施持续监测方案 建立一套完善的实时告警体系,密切跟踪网络流量模式变化趋势,一旦发现可疑迹象即刻响应处理。定期备份有价值的信息资产,以便于灾难恢复期间能够迅速还原至正常工作环境之中。 通过以上综合手段,不仅可以彻底清除当前面临的 `vConsole` 注入危机,还能显著提升整体 IT 架构抵御未来同类事件的能力水平。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值