網絡安全威脅無處不在VRVNAC軟件被火絨查出攜帶惡意程序部分行業用戶可能受影響

2019年03月13日 08:05:37 作者:必火 閱讀數:3508360
網絡安全滲透測試北京實地培訓,五個月華麗蛻變,零元入學,報名聯系:15320004362(手機同微信)。全國誠招招生代理,最低2000元起
第九期開班時間:2021年3月22日

搶先領取全套VIP視頻教程

+10天免費學習名額

  已有8166人參加


視頻課程

姓名 選填

電話

  張*燕188****220722分鐘前

  王*軍186****864498分鐘前

  李*如189****445354分鐘前
>>  稍后老師聯系您發送相關視頻課程  <<



報名CTF挑戰賽,  預約名師指導

  已有 2366 人參加
姓名 選填

電話

  郭*明170****234291分鐘前

  趙*東189****289646分鐘前

  蔡*培135****589722分鐘前




   
網絡安全滲透測試群(必火安全學院):信息安全滲透測試群

護網行動日薪千元(初級中級高級)群:護網行動必火業余班級
一、        概述
近來有公安行業,氣象等行業若干機構單位反饋,他們經過使用“火絨安全工具”檢查出VRVNAC“桌面監聽控制”軟件攜帶惡意程序,請火絨確認。經分析,發現這個產品所使用的功能組件(AdvancedAll.dll)遭Ramnit病毒感染,有惡意的代碼被包含在文件的資源數據中,因火絨查殺深度較深,所以會檢測出惡意代碼。

火絨團隊早在2015年就發現該產品組件攜帶惡意代碼,并告知過該公司,但問題至今未被解決。火絨團隊推測,這可能是供應鏈污染造成的,該組件的編寫者開發環境被病毒感染,導致相關組件帶毒。雖然這段惡意代碼激活條件比較苛刻,也不會造成大面積擴散,但的確是潛在風險。 
據了解,這款被病毒污染的VRVNAC 軟件廣泛應用于公安等行業單位,火絨強烈建議該產品供應商盡快排查開發供應鏈,徹底解決該問題。

二、        分析
近期,有用戶反饋火絨檢測到VRVNAC“桌面監控”一組件包含病毒。火絨分析師分析后,發現該組件(AdvancedAll.dll)的資源文件中的網頁資源被病毒感染(火絨檢測為:TrojanDropper/Ramnit.f),并且該惡意代碼早在2015年就被該組件攜帶,至今仍未修正該問題。VRV產品及火絨報毒界面,如下圖所示:

模塊加載列表

火絨查殺圖

簽名比較
火絨反病毒引擎在掃描AdvancedAll.dll文件是會對該文件的資源數據一一分析并掃描,所以雖然惡意代碼被包含在文件的資源數據中,但是仍會被檢測到。如下圖所示:

資源文件被感染的網頁文件,執行條件比較苛刻(需要IE6瀏覽器內核渲染,并設置瀏覽器安全等級為低),所以在實際用戶環境中不容易被激活。在構造了上述環境并通過IE瀏覽器加載該頁面激活改病毒后,病毒代碼會嘗試釋放并執行惡意代碼,如下圖所示:
釋放svchost被感染的網頁文件在執行后會在TEMP目錄下創建svchost.exe文件,并將二進制數據(PE文件)寫入到已創建的文件,然后執行。提取到的部分代碼,如下圖所示:
釋放病毒文件當svchost.exe啟動后會將代碼注入到IEXPLORE.EXE進程中,然后遍歷全盤并感染EXE、DLL、HTML、HTM文件,用于傳播自身。感染邏輯以及運行截圖,如下圖所示:

感染邏輯