北京有没有治疗白癜风好点的医院 https://yyk.39.net/bj/zhuanke/89ac7.html近日,安全大脑监测到,装机盘恶意驱动XQGuard小强木马有所更新,不同于之前怂到遇监控软件和杀软即“自尽”的唯唯诺诺姿态,新版本的小强开始了针对杀软的武装抵抗。
不过广大用户无需担心,安全卫士即可对此类木马的拦截和查杀。
驱动隐藏与回写
不同于以往检测到安全工具和杀软才隐藏自己的行为,新的小强驱动,开机加载之后就会当机立断删除自身的注册表和磁盘驱动文件,来隐藏自身。如同白昼的小强们家中缝隙藏身,小强驱动加载后也仅在内存中苟存。
随后,为了能在下次受害者机器开机时再次加载,小强注册了一个关机回调,在关机回调中来回写自己的注册表和文件,达到长期驻留的目的。
利益驱动下的杀软对抗
新版本的小强开始通过自己依托于装机盘的主场优势,抢先一步注册进程创建回调,来阻止杀软进程。
首先规则一,判断新进程所在的文件路径,如果该进程在指定杀软目录下,则结束进程,并删除该进程对应的磁盘文件。
命中杀软文件夹规则,则结束杀软进程,并通过下发IRP删除对应文件:
规则二,判断新进程的进程名,如果命中指定的杀软进程名,同样是杀进程删文件。
规则三,计算新进程对应文件的md5,与指定的一批杀软md5比较,命中则杀进程删文件。
规则四,通过数据目录表定位新进程的Security段和Debug段,在这两个段中暴力搜索内存,查找指定杀软的符号信息,命中则杀进程删文件。
同时,小强为了防止进程回调被patch,创建了线程while死循环检测自身进程回调的机器指令,一旦发现进程回调被patch,则立即进行恢复。
所有的这些对抗手段,都是为了完成驱动层通过Apc进行dll注入,达到最终改首页,做软件捆绑挣脏钱的目的。
安全建议
以“免费”一键安装,“免费”激活等口号为诱饵,行病*木马,流氓软件之事的案例屡见不鲜。这些木马篡改浏览器首页,强制下载流氓软件,占用受害者机器资源,影响受害者电脑的日常使用。
但请广大用户无需担心,安装安全卫士即可对此类木马进行拦截和查杀。希望广大用户保持安全卫士的常驻保护,警惕安全卫士所拦截的危险行为。中*用户亦可下载安装安全卫士以及系统急救箱,皆可查杀木马。
