小伙伴们你们知道VanFraud病毒预防吗?今天归来教程小编很乐意与大家分享VanFraud病毒预防操作方法,感兴趣的可以来了解了解哦。
VanFraud病毒预防操作方法
1、下载\"专杀工具\",安装后,点击\"开始扫描\"。
PC版
火绒恶性木马专杀工具类型:杀毒软件
查看详情立即下载2、下载“火绒安全软件”,在【病毒查杀】功能版块点击“快速查杀”。
Android版PC版
火绒盾类型:系统工具
查看详情立即下载火绒近期发现,数字签名为“Huai\'an Qianfeng Network Technology Co.,
Ltd.”的高速下载器携带恶意代码。通常,下载站的高速下载器不论最终安装何种软件,下载器程序都是完全相同的(下载器会根据自身文件名中“@”符号后面的软件编号向服务器请求下载相应的软件)。因此,一旦携带恶意代码的高速下载器上线,该下载站所有通过高速下载器安装的软件都会受到恶意代码的影响。通过火绒终端威胁情报系统,我们发现,带有恶意代码的下载器曾经在2018年1月16日至1月25日和1月30日至2月2日两个时间范围内进行过传播。经过筛查,我们发现可以下载到带有该签名高速下载器的站点众多,但当前公网可以下载到的该签名下载器暂不包含恶意代码。不排除之前两个时间段的测试是为了进行“试水”的可能性,将来可能会全面放开。可以下载到上述签名的下载站,如下图所示:
经过测试,我们发现下载站服务器对User-Agent中的当前系统版本进行了限制,只有在Windows
8及以下系统才会下载到带有上述签名的高速下载器。在测试过程中我们发现,病毒下载的恶意驱动会造成32位Win7系统蓝屏,所以我们推测,只有低版本Windows系统才可以下载该版本下载器的原因,可能是因为病毒代码对高版本系统支持的不够好。如下图所示:
下载器运行界面,如下图所示:
携带恶意代码的高速下载器与其他下载器带有相同的有效数据签名。在下载器执行后会创建恶意代码线程,从远端C&C服务器下载病毒程序到本地进行执行。文件信息对比,如下图所示:
携带恶意代码的下载器签名验证信息,如下图所示:
两个版本下载器代码逻辑除恶意代码部分外,其他逻辑代码完全相同。如下图所示:
通过下图我们可以看出,两个版本下载器的下载器部分代码逻辑相同,且字符串解密部分逻辑与病毒代码所使用的字符串解密逻辑完全相同。据此我们可以推测,高速下载器中的恶意代码与该下载器制作厂商存在直接关系。如下图所示:
以上就是归来教程小编分享的VanFraud病毒预防操作方法,是不是很棒啊,希望对你有所帮助哦。
本文来自投稿,不代表归来教程立场,如若转载,请注明出处:https://www.guiqulai.com/104996.html