东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   | 
 |   |   |   |   |   |  各地代理商
 

微点第一时间捕获“黑屏”病毒纪实
来源:东方微点      2008年10月23日

        微软将于21日凌晨正式启动黑屏计划,很多网友担忧系统被“黑”。希望能通过某些破解补丁来应对微软此次动作,互联网也就成了他们解决问题的主要途径。

        20日早晨来公司,车上的很多乘客一路都在热议微软黑屏事件,大家讨论得沸沸扬扬,看来这次关注黑屏的人群很大。跟着他们一起侃,不知不觉就到了公司。

        一天紧张的工作有条不紊的进行着,正准备放松的时候,接到一个客户的电话。询问后才知道,该用户使用了盗版微软操作系统,由于担心黑屏问题,从网上下载了一个破解补丁,运行时微点主动防御软件报告发现未知间谍软件。于是请用户将文件传送给过来。

        拿到文件,立即在病毒实验室的计算机上运行该文件,果然微点主动防御软件报警发现未知间谍软件。

        “正版微软黑屏补丁”居然是病毒?于是马上打开od,很快一段二进制代码显示在我的眼前,里面的代码越看越熟悉。

        这段二进制代码与臭名昭著的灰鸽子的代码及其相像,初步判断就是一个灰鸽子经过“免杀”处理的变种病毒了。继续分析,发现不仅使用了修改入口点、注入系统进程等方法,还使用了隐藏进程手段达到隐藏自己的目的。通过分析,这个“正版微软黑屏补丁”肯定是灰鸽子的一个变种。好了,来给它取个名字吧,既然是灰鸽子变种,还是沿用灰鸽子家族的习惯:backdoor.win32.huigezi。

        可怕也感到悲凉,竟然有人利用广大用户迫切解决“黑屏”的心理,来达到自己那肮脏的目的。哎!马上告知用户,他下载的破解补丁是灰鸽子病毒的变种,微点主动防御软已经成功拦截,不必担心。

        这次微软正版验证的事件被各大媒体炒得很热,很多非正版用户有点害怕,致使破解补丁成为了热门话题。但从这个案例来看,显然用户这种迫切想破解微软正版验证的心理被黑客利用了。于是尝试搜索了下“黑屏破解补丁”,提供破解补丁的还真不少,随意下载了几个破解补丁,其中有些补丁被微点软件拦截。看来有人已经盯上了“黑屏”补丁破解这块肥肉。继续对那几个被微点软件拦截的黑屏破解补丁进行分析,发现修改的手法基本一致,但依然无法躲避微点主动防御软件的拦截。

 

网站地图