众所周知现在的Win10的安全性已经很高了,并不会出现像是在XP时代机器因为开放了一些端口就莫名其妙被植入恶意软件的情况。但是今天我就莫名其妙遇到了这个问题。
 

今天早晨开机后本机的某绒查杀了一个病毒软件,某绒对其的病毒标记为:BackDoor/MemoryDll ,这让我很纳闷了,平常我也不怎么下载一些乱七八糟的软件啊,怎么会就被植入这种莫名其妙的东西呢?文件路径被植入在:

C:\Users\[用户名]\AppData\Local\zgshopmQd\zgshopmQd.exe文件。说明植入到该文件是一个不具备SYSTEM权限的进程,

我立即调出该文件正准备一探究竟,立即发现该病毒文件居然有签名!

右键属性后有数字签名

 

该exe文件不但有数字签名,文件元数据居然是中文的。见下图:

查看一下“详细信息”,更是惊喜,文件描述等居然都详详细细的写的都是中文的:

这就是告诉你,我们就是一个合法的软件下载安装器啊,

我们继续照着数字签名的名称下手,嗯,

时间戳服务是赛门铁克的,

证书颁发者是大名鼎鼎的DigiCert:

好么,证书花了钱的。然后就在用户电脑中行蝇营狗苟之事。

好,我们来看一下这是什么公司:

Sichuan Zhiling Times Network Technology Co., Ltd.

通过一定手段的搜索,我们找到了这家公司的中文名称:

四川智领时代网络科技有限公司

我们继续搜索:

只是百度了这么一下,还没点进任何一个链接就发现了一些字眼: “卸载不完全”、“反复安装”流氓软件、等等等,发现这个软件本身就已经臭名昭著一段时间了,这不得不让我想起了20年前叱咤中文互联网的流氓软件大BOSS:

3721上网助手

这倒霉玩意儿当年有多恐怖?

就这倒霉玩意儿当年感染了所有学校的机器,每台机器除了重装系统的方法外,就只有深入到rootkit 0 甚至更深层的系统权限去删除注册表键,否则即便是删除了软件,仍然存留着病毒文件进程,无法删除文件(安装器恶意文件通过系统hook进行自保护)等等一系列现代安全软件自保护手段去保护病毒文件,然后就是超级权限注册表键,操作系统权限都无法删除…… 简直罄竹难书

 

幸好某绒挡住了该文件,阻止了该文件的运行。

 

否则我工作量就大了。

 

对于该文件,这是国外的综合杀毒和扫描站的报告:

https://www.freefixer.com/library/file/Telshan.exe-298615/

通过多方网友的报告:

https://tieba.baidu.com/p/6439096142

我发现我还曾经在电脑上真的中过这个病毒,,但是那已经是去年重装系统以前的事情了 ,当时发现以后就手动杀干净了,没想到今天又出现。

本来这并不是什么大事,问题在于,这个文件它究竟是怎么来的。我电脑上使用的国产软件并不多,常驻的国产软件的进程无非就QQ输入法、QQ和向日葵远程控制以及某绒。QQ公司很大不差钱,那剩下的就是……向日葵? 上海贝锐应该不至于干这种事情。

我平常大多数只用只下载开源软件使用,然而

究竟是什么软件把这个恶意文件带进来的呢?

 

这件事还真是有待调查。

 

推断1、其实大公司是肯定被首先排除的,因为他们搞钱没必要从这么下作的渠道搞。

推断2、某种压力迫使大公司通过大众性软件,例如QQ、微信等软件下发恶意软件,这个神秘力量自己猜吧。我猜是共济会。

推断3、微软Win10操作系统存在某个0day漏洞,由于某个开放的端口存在某种漏洞,导致栈溢出代码执行漏洞被利用。

推断4、下载的某些“合法”文件,其实自己存在某个宏写入到系统的数据。比如Office的VBA宏。但是至今我没有发现我电脑上存在哪个合法的office文件给我带来惊喜。

推断5、pdf文件读取器漏洞。我比较喜欢下载pdf。

 

就在本文首次发布的当日,我发现火绒官方居然也发布了跟我相同的一种病毒的报告:

https://zhuanlan.zhihu.com/p/149300641

https://www.huorong.cn/info/1592489908487.html

 

 我的推断被缩小范围到:2、3。其他的可能性变小了。

 

火绒在发不了上次的报告后,也就是本文发布的5天后,我发现火绒又发布了一则报告:

https://www.huorong.cn/info/1592912077490.html

我这才发现,确实有可能是向日葵可能存在某种协议漏洞,漏洞被利用来植入这个病毒文件。虽然思路不一样,但是我在考虑其实这家公司是披着合法软件外衣的黑客公司,专门钻研TeamViewer和向日葵这类软件,对其进行修改和反向工程,协议自然也不在话下,那么这些软件远程协议本身可能存在的漏洞就会暴露在这些人的分析之下,是极有可能被人利用一把来植入病毒文件的。所以没有特殊需求的话,尽量不要让TeamViewer和向日葵开机长时间启动,而是随用随开,以减少远程控制协议端口长时间暴露的机会。

 

 

 

 

 

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐