科技网

当前位置: 首页 >互联网

卡巴斯基发现新型AutoCAD主页木马

互联网
来源: 作者: 2019-04-05 22:38:06

本周卡巴斯基发现了两个在AutoCAD平台上传播的新木马:as.b和as.o,它们旨在修改浏览器主页地址、弹出广告页面。目前只有卡巴斯基的安全解决方案能够检测出此种新型木马。

AutoCAD是世界流行的建筑制图工具,利用这个平台的病毒很多,但修改主页的木马还是第一次出现。该木马运行时会将用户IE内核的浏览器首页修改,重定向到新站,从而制造有大批流量的假象。根据卡巴斯基安全络分析(KSN)显示,这类威逼主要出现在中国、印度和越南。波及浏览器包括:傲游、360和搜狗。

这两个木马使用AutoLISP编写,并被编译成.fas文件。而目前还没有通用的.fas文件的反编译器,这就使得对木马的逆向分析更加困难,所以这两个木马成功回避了除卡巴斯基外的所有反病毒软件的检测。

木马工作原理

as.b负责下载as.o并将其运行。而as.o负责改变浏览器主页,运行浏览器,访问其他广告站。

1. as.b下载as.o。它通常被命名为s并打包进许多建筑制图压缩包中诱使相干用户下载运行。当AutoCAD履行这个文件,它会将本身复制为s并从http://***.下载as.o。

2. as.o运行后会遍历系统进程列表,寻找IE、、360、搜狗、傲游等浏览器进程。找到后,该木马会提取浏览器中地址栏的URL,看看它是不是包含,如果没有,这个木马会让浏览器跳转到。该木马还会定期打开一个新浏览器进程,访问http://**.。然后修改注册表,改变浏览器主页为。为了改变搜狗浏览器的主页,木马还会修改搜狗浏览器的配置文件%userprofile%\appdata\Sougouexplorer\l。而且它还会查看某些hips软件或沙盒软件的进程是不是存在。如果存在,则会删除本身。

3. 中的***82691_hao_p是某的推行人的ID。会依照此推行人为站带来的流量和此推行人分成。http://**.则更有意思,它会刷新浏览器使之跳转到*** 。然后再跳到wenying***.com。最后wenying***.com会显示广告页,比如:

AutoCAD使用非常广泛,AutoLISP语言也已足够强大,加上编译后的.fas文件没有反编译器很难分析,这使得AutoCAD对于编写传播歹意软件十分理想。黑客们在想尽一切办法编写传播恶意程序、逃避安全软件查杀,只有依托强大可靠的安全解决方案才能免受威胁。

怎么调理月经不正常
怎么样治疗月经不调
怎么治疗女生痛经

相关推荐