freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

约900万台计算机感染zeroaccess木马
2012-09-25 09:30:36

国外安全研究者最近几个月发现,全世界大约有900多万台计算机感染了zeroaccess木马,其中有100万感染机器现在仍然活跃,受感染的机器大多数在美国。

zeroaccess采用了先进的rootkit来隐藏自身,它可以创建一个隐藏的文件系统,下载更多的恶意软件,并在受感染的计算机上打开后门。该病毒可能通过发送欺骗信息给用户,谎称电脑中毒,需下载或者购买提示链接中的杀毒软件,而该所谓的杀毒软件是由恶意软件制作者编写的Trojan.Zeroaccess木马的更新程序。更多该病毒信息请查看SophosLabs发布的报告。

1
除了美国之外,其他受感染的国家排名如下:
巴西
日本
罗马利亚
阿根廷
委内瑞拉
智利
2

研究者认为zeroaccess僵尸网络目前主收入来源在“点击欺诈”,该款木马可以控制客户机去点击一些特定的广告,预计一天收入约在10W美元左右。此外,它会打开一个后门,并连接到一个指挥和控制(C&C)服务器,它允许远程攻击者访问受感染的计算机。然后攻击者能够执行任何数量的计算机上,使这些计算机成为僵尸网络中的“僵尸机”。


相关阅读:

这个rootkit在互联网被发现的时间必须得追溯到2009年。那个时候,MBR rootkit 和TDL2 rootkit肆虐横行, 其中第二个主要的版本是当时互联网中最先进的内核级rootkit——直到安全研究人员偶然发现一种新的未知的rootkit,它能够很快地杀死大多数设法扫描系统中特定的文件夹的安全软件。ZeroAccess创建一个新的内核设备对象称为__max+>,这就是这个rootkit迅速在安全领域中被熟知,并被称为MAX ++ rootkit的原因,当然还因为在ZeroAccess内核驱动程序代码中发现了一个字符串,指向名为ZeroAccess的原始项目文件夹 (f:\VC5\release\ZeroAccess.pdb)。
这个rootkit把它的代码存在两个备用数据流win32k.sys:1 和win32k.sys:2中。为了避免被检测到,这个rootkit能够杀死每一个试图扫描备用数据流的安全软件。它在系统文件夹中创建一些假的交接点(注:NTFS交接点,是NTFS文件系统的特性,允许一个文件夹被链接到另一个本地的文件夹,这样目标文件夹就有了一个别名)指向之前写的假的rootkit设备。当安全软件试图扫描那些存储备用数据流的特定文件夹时,这个rootkit的自我保护机制在安全进程中安排一个工作队列立刻杀死安全软件。至此,扫描系统而不被rootkit杀死成为一项艰巨的任务。
从那时起,ZeroAccess rootkit就开始不断进化,不断改变它感染系统的方式,变得更为先进和更为危险。

本文作者:, 转载请注明来自FreeBuf.COM

# zeroaccess # 病毒木马
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦