举世瞩目的G20峰会的信息安全保障工作,绿盟公司从未缺席。从安全保障的重点单位传来信息,TAC在恶意威胁检测中,发现多起恶意软件。以其中一个TAC擒获的样本为例,对其抽丝拨茧,分析恶意软件的实现方式,判断恶意软件造成的可能危害,最后,给出应对此威胁的策略。
二十国领导人峰会(G20)在杭州举行,峰会吸引着全球目光,影响着未来世界政治和经济的格局。峰会重要性,不言而喻,安保任务不能懈怠。除了常规的安全保障任务外,在看不见的网络和信息层面,攻击暗流涌动,跃跃欲试,防御见招拆招,不曾间断。
从某保障客户频频传来捷报,TAC产品检测到一大波恶意样本攻击。客户领导非常认可我司的产品和服务,尤其是TAC产品,帮助客户发现病毒客户端和高级未知威胁。
其中一个样本的分析报告:
1. TAC检测到样本
2. 样本行为分析
该网站内容被挂马,html文件尾部被嵌入了VBScript脚本,截图如下:
VBS脚本功能为:将字符串WriteData中的内容写入svchost.exe中,并将其执行。
Trojan.Zbot.IPC:该样本为网银木马,用来窃取用户的网银账户信息,还可以窃取多个银行或者金融机构的证书。一旦受害者只本地执行了该样本,本地主机便会回连C&C服务器,同时监控本机网络连接及上传窃取的用户数据。主要行为如下:
1)释放文件:DesktopLayer.exe
2)进程创建:执行释放的文件DesktopLayer.exe,该进程又会唤起浏览器,并进行监控;
3)开机自启动,达到长期潜伏的目的;
3.网络连接:
4.处理建议:
- 对应样本在相关目录下删除释放的文件;
- 及时更新杀毒软件病毒库,定期全盘扫描,降低风险;
- 如果本地已被感染,应立即进行全盘查杀,并立即在其他安全电脑上修改在线银行账户密码或其他账户密码;以上对恶意样本的分析可以看出,纵使恶意软件狡猾善变,终究逃不过TAC的火眼金睛。G20重大安保活动,TAC产品堪此重任,不负众望。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669