信息无障碍通道
您的位置:首页>>电脑软件

AVG提醒:网络新环境请提防.net病毒

发布时间:2012-06-01  来源:互联网    背景: 无障碍通道

  在XP时代,少有病毒作者使用.net编程语言开发恶意程序,反病毒厂商也很少检测.net文件,因为默认环境下.net程序需要额外安装运行时环境。但随着Win7的普及,其自带的.net环境免除了这一限制,也让.net型病毒快速增加;另外由于.net的指令是非x86的中间语言(IL),也使传统的启发式和虚拟机引擎很难做到通用检测。最近AVG中国防病毒实验室截获到一款.net下载器,值得一提的是它利用了用户机器中的语言编译器对自身代码进行重新编译,以躲过主防软件的查杀。

  原始文件的.net IL经过加密,受保护的文件内容在经过加密后通过Assembly.Load重现装入内存,并进入入口调用。

  真实的病毒文件首先向磁盘写入一个vb源代码文件,然后调用%Windows%\\Microsoft.NET\\Framework\\v2.0.50727\\vbc.exe 将其编译为WLIDSCV.exe,并设置自启动。Vbc.exe是.net framework 自带的vb编译器。

  由于这个程序是在用户的机器上编译生成的,部分主防认为是开发测试之用,因此忽略这个文件。病毒因此达到躲避主防的目的。另外由于源程序每次编译产生的可执行文件都有一些差异,这样也为病毒逃脱云查杀提供了机会。

  该文件的代码也比较简单,结束掉vbc.exe进程,并且每3秒钟检查一次.net病毒母体是否在运行,没有在运行就启动它。这样动态编译出的程序就成为了作为病毒的守护进程存在。

  病毒主要的功能是下载,从互联网下载一个新的恶意程序,并运行。

  下载下来的文件仍然是一个.net程序。使用同样的加密方式。

  首先病毒释放一个C#源代码文件,它的功能是注入代码到目标进程,使用经典的NtUnmapViewOfSection方法。

  然后调用位于C:\Windows\Microsoft.NET\Framework\v2.0.50727 下的csc.exe,将此源代码编译为一个dll。Csc.exe是.net framework自带的C#编译器。

  病毒体加载这个dll,并调用这个dll将自身中解密出的一个非.net恶意程序注入到svchost中。病毒编译生成新dll并调用新dll,而不是直接调用的原因是部分启发引擎会识别.net程序中的引用的Win32API,会检测产生注入的代码。

  由于.net程序难以操作底层,因此.net恶意软件常常以下载器,释放器的面目出现,为黑客进一步入侵用户的计算机做铺垫。尤其随着WP7 等微软移动设备的普及,.net framework 因为其跨平台,开发较容易的特点,会吸引越来越多的开发人员,当然其中也包括病毒作者。.net恶意软件也许会渐渐成为一种趋势。AVG提醒广大用户,经常更新病毒库,不轻易运行陌生的可执行程序,包括.net应用程序。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
勒索病毒趁聊天机器人“关停”再掀风浪,360安全大脑率先截杀
聊天机器人,一种自动回复好友、群消息、私聊的聊天小工具。最近,这种机器人却因“关停&rdquo...
日期:08-12
鱼塘软件|电商“劫”,其实真的可以有最优解!
现如今,电商已经是国民经济的重要组成部分,成为人们生活中不可或缺的一部分。
日期:08-10
金山办公赋能广西信创 打造基础软件产业标杆

金山办公赋能广西信创 打造基础软件产业标杆

日期:08-07
Mozilla Firefox引入ETP 2.0功能 扩大跟踪保护
Mozilla 安全博客介绍了 即将在未来几周推送给 Firefox 用户的增强隐私保护功能 Enhanced Tracking...
日期:08-06
苹果 Safari 浏览器终于支持 YouTube 4K 清晰度播放
今日凌晨,苹果向用户推送了 macOS Big Sur 第四个 beta 版本,此前并不支持 YouTube 4K 视频播放的...
日期:08-05
Edge地址栏输入任意内容导致浏览器崩溃 现已修复
最新版 Edge 浏览器存在软件 BUG,只要用户在地址栏输入任意内容都会导致浏览器崩溃。不过好消息是...
日期:07-31
谷歌 Chrome 浏览器将限制在非 HTTPS 网站使用游戏手柄
7月29日消息 本月初,报道称,微软一直在努力为Windows 10和Windows 10X上的Chromium浏览器带来完整...
日期:07-29
酷我畅听《雪中悍刀行》带给你不一样的广播剧体验!
说起侠,大约每个中国人都有话要说。侠之大者,为国为民,是惩恶扬善的仗义之士,是浪荡不羁的江湖...
日期:07-28
云智慧三度蝉联Gartner AIOps Sample Vendor
近日,Gartner发布《Hype Cycle for ICT in China, 2020》报告,云智慧凭借智能运维产品和技术的领...
日期:07-28
腾讯极光HF-S1机顶盒怎么样?应该安装哪些软件?当贝市场推荐
最近腾讯极光新盒子上线,对于一款网络机顶盒来说,想要显示更多的内容,或者发挥更多好玩有趣的功能,...
日期:07-28
微软 Win10 免费工具集 PowerToys v0.20 曝光:新增颜色选择器,7 月底发布
7月26日消息 微软名为PowerToys的免费系统实用工具套件从Windows XP时代复活,并于2019年5月引入Win...
日期:07-26
2020年十大音乐类软件排行榜,当贝酷狗音乐排名第一
一款好的播放器,可以带来非常棒的音乐体验,那么当下最好用的音乐播放器是哪个呢?为此小编通过下载量...
日期:07-22
Edge 浏览器即将迎来浏览历史同步功能
7 月 22 日消息 昨天微软透露,Edge 浏览器一些重要功能将在不久的将来到来。
日期:07-22
新Edge浏览器简化网址显示:默认隐藏http://www
微软新Edge浏览器推出后得到好评,因为Canary/Dev等预览通道的出现,其软件更新速度也很快。
日期:07-15
谷歌 Chrome 浏览器在 Mac 上「能用」了,将解决耗电、卡顿问题
谷歌 Chrome 浏览器长期占据市场份额的第一名,但它的使用体验却让用户叫苦不迭,被称为 “内...
日期:07-13
Chrome 与 Firefox 将支持 AVIF 图像格式
7月10日消息 据至顶网报道,新的 AVIF 格式图片即将出现在 Web 浏览器中。
日期:07-10
WPS Office 2019 Linux 专业版推出 “公文模式”,面向党政机关用户
7月8日消息 7月7日,金山办公在位于珠海的产品研发中心举行了以“民族办公软件的创新之路&rdqu...
日期:07-08
技巧:如何卸载 Win10 基于 Chromium 的新版 Edge 浏览器
7 月 7 日消息 虽然微软采用 Chromium 重新打造 Edge 浏览器受到很多用户的欢迎,目前新的微软 Edge...
日期:07-07
微软 Win10 大规模推送 Chromium 版 Edge 浏览器
7月6日消息 外媒 Windows Latest 报道,在接下来的几个月中,经典版 Microsoft Edge 浏览器时代对于...
日期:07-06
微软 Win10 全新开始菜单现身
6 月 24 日消息 Windows 10 于 2015 年发布,发布近五年后,微软已经开始为该操作系统打造新的外观...
日期:06-24
  专栏介绍
新闻值班 的专栏
新闻值班发表的文章
积分:
自我介绍 :