一, 概述
火绒团队早在 2015 年就发现该产品组件携带恶意代码, 并告知过该公司, 但问题至今未被解决. 火绒团队推测, 这可能是供应链污染造成的, 该组件的编写者 开发 环境被病毒感染, 导致相关组件带毒. 虽然这段恶意代码激活条件比较苛刻, 也不会造成大面积扩散, 但的确是潜在风险.
据了解, 这款被病毒污染的 VRVNAC 软件广泛应用于公安等行业单位, 火绒强烈建议该产品供应商尽快排查开发供应链, 彻底解决该问题.
二, 分析
近期, 有用户反馈火绒检测到 VRVNAC"桌面监控" 一组件包含病毒. 火绒分析师分析后, 发现该组件 (AdvancedAll.dll) 的资源文件中的网页资源被病毒感染(火绒检测为: TrojanDropper/Ramnit.f), 并且该恶意代码早在 2015 年就被该组件携带, 至今仍未修正该问题. VRV 产品及火绒报毒界面, 如下图所示:
模块加载列表
火绒查杀图
签名比较
火绒反病毒引擎在扫描 AdvancedAll.dll 文件是会对该文件的资源数据一一分析并扫描, 所以虽然恶意代码被包含在文件的资源数据中, 但是仍会被检测到. 如下图所示:
资源文件
被感染的网页文件, 执行条件比较苛刻(需要 IE6 浏览器内核渲染, 并设置浏览器安全等级为低), 所以在实际用户环境中不容易被激活. 在构造了上述环境并通过 IE 浏览器加载该页面激活改病毒后, 病毒代码会尝试释放并执行恶意代码, 如下图所示:
释放 svchost
被感染的网页文件在执行后会在 TEMP 目录下创建 svchost.exe 文件, 并将二进制数据 (PE 文件) 写入到已创建的文件, 然后执行. 提取到的部分代码, 如下图所示:
释放病毒文件
当 svchost.exe 启动后会将代码注入到 IEXPLORE.EXE 进程中, 然后遍历全盘并感染 EXE,DLL,html,HTM 文件, 用于传播自身. 感染逻辑以及运行截图, 如下图所示:
感染逻辑
感染后文件
来源: http://www.tuicool.com/articles/miiYviJ