前沿技术

63期报告汇总
安天发布《Sarvdap样本分析报告》

      近日,安天追影小组在进行安全事件梳理时,注意到了Sarvdap家族木马利用RBL(Realtime Blackhole List)过滤技术来进行选择性感染,安天追影小组对该家族的样本行为做简要的介绍。

      Sarvdap家族木马主要采用网络钓鱼的方式来进行传播, RBL为实时黑名单列表的英文缩写,该列表中的IP地址均对外发送过垃圾邮件,一般被邮件过滤器用于过滤垃圾邮件。正是利用了RBL这一特性,Sarvdap家族恶意代码能够避免感染RBL黑名单中的主机,来提高感染的有效性。

      安天追影小组针对Sarvdap家族样本进行分析,通过分析可知该样本编译环境为Microsoft C++ 8.0的可执行文件。

      Sarvdap样本将功能函数和字符串地址进行硬编码,依赖于内存基地址为0x2001000的功能模块,当无法获取到功能函数及字符串时将无法运行,从而来增加静态调试的难度。

      在程序执行时,该样本将进行自我复制,将自身复制到%windir%目录的文件夹里,并执行一个名为svchost.exe的进程,将主要代码写入该进程内存中,设置注册表自启动。

      成功写入代码后,恶意进程会尝试访问http://www.microsoft.com来测试网络连接状态,若网络处于连通状态,则将被感染主机的IP在RBL列表中进行检索,判断是否进行感染,若被感染主机不在RBL黑名单中,则将继续进行感染,进而获取主机控制权,否则将终止执行恶意代码。

      Sarvdap样本的RBL检查模块进行深入分析可以发现,样本的RBL黑名单为硬编码,且列表中包含的服务器IP范围遍布全世界,可见该恶意代码攻击的范围之广。

      通过本次事件的技术分析,可以发现网络钓鱼传播木马仍然是企业、政府和家庭用户一个非常普遍的威胁,攻击者也不断更新技术来躲避查杀,安全技术必然需要与时俱进。安天建议网络使用者,针对邮箱匿名邮件应谨慎对待,切勿随意下载启动,防范于未然。对于已经受到感染的机器设备,及时寻求专业人事行分析处理。目前,该样本已经被追影产品检出。
按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务