网站 › 『病毒分析区』 › VRVNAC软件携带恶意程序 公安等行业用户可能受影响

火绒安全实验室 发表于 2019-3-12 19:40

VRVNAC软件携带恶意程序 公安等行业用户可能受影响

一、      概述
近期有公安、气象等行业若干单位反馈，他们使用“火绒安全软件”检测出VRVNAC“桌面监控”软件携带恶意程序，请火绒确认。经分析，该产品所使用的功能组件（AdvancedAll.dll）遭Ramnit病毒感染，恶意代码被包含在文件的资源数据中，因火绒查杀深度较深，所以会检测出恶意代码。
http://bbs.huorong.cn/data/attachment/forum/201903/12/193454vb57f8byfeffy9cr.png火绒团队早在2015年就发现该产品组件携带恶意代码，并告知过该公司，但问题至今未被解决。火绒团队推测，这可能是供应链污染造成的，该组件的编写者开发环境被病毒感染，导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻，也不会造成大面积扩散，但的确是潜在风险。
据了解，这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位，火绒强烈建议该产品供应商尽快排查开发供应链，彻底解决该问题。

二、      分析
近期，有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒。火绒分析师分析后，发现该组件（AdvancedAll.dll）的资源文件中的网页资源被病毒感染（火绒检测为：TrojanDropper/Ramnit.f），并且该恶意代码早在2015年就被该组件携带，至今仍未修正该问题。VRV产品及火绒报毒界面，如下图所示：
http://bbs.huorong.cn/data/attachment/forum/201903/12/193520bc1nv69ebzv7bv9e.png模块加载列表
http://bbs.huorong.cn/data/attachment/forum/201903/12/193537fqqj4dupf4h4u2lz.png火绒查杀图http://bbs.huorong.cn/data/attachment/forum/201903/12/193553k7q7bhqiqlpiqtsq.png签名比较
火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描，所以虽然恶意代码被包含在文件的资源数据中，但是仍会被检测到。如下图所示：
http://bbs.huorong.cn/data/attachment/forum/201903/12/193616grrz0m2ll2yy3zrm.png资源文件被感染的网页文件，执行条件比较苛刻（需要IE6浏览器内核渲染，并设置浏览器安全等级为低），所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后，病毒代码会尝试释放并执行恶意代码，如下图所示：
http://bbs.huorong.cn/data/attachment/forum/201903/12/193633it55smsmtpmmrq1s.png释放svchost被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件，并将二进制数据（PE文件）写入到已创建的文件，然后执行。提取到的部分代码，如下图所示：
http://bbs.huorong.cn/data/attachment/forum/201903/12/193646mruu8r6posss0pqh.png释放病毒文件当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中，然后遍历全盘并感染EXE、DLL、HTML、HTM文件，用于传播自身。感染逻辑以及运行截图，如下图所示：
http://bbs.huorong.cn/data/attachment/forum/201903/12/193659k4uh1jxhojwou55f.png感染逻辑http://bbs.huorong.cn/data/attachment/forum/201903/12/193708frqmt1qnctn3u3et.png
9.png (185.92 KB, 下载次数: 0)
下载附件37 秒前 上传
感染后文件

勉旃 发表于 2019-3-12 20:44

！！！公众号一小时前发的，就这样原封不动扒来发帖，可太优秀了您嘞！！！

VRVNAC软件携带恶意程序公安等行业用户可能受影响
http://bbs.huorong.cn/thread-55273-1-1.html
(出处: 火绒安全软件)

寒冰飞雪 发表于 2019-3-14 22:32

notpasser 发表于 2019-3-14 09:41
说实话，我一直是比较支持火绒的，因为它没广告，不像360。但是前几天我朋友碰到一个U盘病毒，自动隐藏文件 ...

和你一样，上次公司财务电脑刚安装的系统，叫税务局的人来安装税务软件插了他们的U盘，第二天C盘Program Files就被锁，安装软件都安装不进去，怎么弄都不行，后面只能重装，重装完就安装了eset nod32，后面又换了一个人来安装税务软件，这次他听说昨天的事就不插U盘了，从网上下载了，这次安装就没事。

丶懒喵喵 发表于 2019-3-12 19:48

15年到现在都没修复 也是666啊

一叶知夏 发表于 2019-3-12 19:49

大佬也是6啊

一叶知夏 发表于 2019-3-12 19:50

目测此贴要加精:lol
提前恭喜楼主贺喜楼主{:1_893:}

YS123456 发表于 2019-3-12 20:03

内网无所谓的吧，就是电脑卡点

LW.SHAKER 发表于 2019-3-12 20:04

楼主牛皮赞一个

shmily999 发表于 2019-3-12 20:21

从来没有听说过这个软件，下载下来用用，之前用的360

intern1 发表于 2019-3-12 21:00

火绒还是不错的，上次我主页被劫持，就是火绒技术人员远程帮忙的。

renyangyu 发表于 2019-3-12 23:50

勉旃 发表于 2019-3-12 20:44
！！！公众号一小时前发的，就这样原封不动扒来发帖，可太优秀了您嘞！！！

VRVNAC软件携带恶意程序公 ...

楼主就是火绒的人吧

查看完整版本: VRVNAC软件携带恶意程序 公安等行业用户可能受影响