网络安全威胁无处不在VRVNAC软件被火绒查出携带恶意程序部分行业用户可能受影响

2019年03月13日 08:05:37

作者：必火

阅读数：3355607

网络安全渗透测试北京实地培训,五个月华丽蜕变，零元入学,报名联系：15320004362（手机同微信）。全国诚招招生代理，最低2000元起

第九期开班时间：2021年3月22日

抢先领取全套VIP视频教程

+10天免费学习名额

已有8166人参加

张*燕188****220722分钟前

王*军186****864498分钟前

李*如189****445354分钟前

>> 稍后老师联系您发送相关视频课程 <<

报名CTF挑战赛, 预约名师指导

已有 2366 人参加

郭*明170****234291分钟前

赵*东189****289646分钟前

蔡*培135****589722分钟前

网络安全渗透测试群(必火安全学院)：

护网行动日薪千元(初级中级高级)群：

一、概述
近来有公安行业，气象等行业若干机构单位反馈，他们经过使用“火绒安全工具”检查出VRVNAC“桌面监听控制”软件携带恶意程序，请火绒确认。经分析，发现这个产品所使用的功能组件（AdvancedAll.dll）遭Ramnit病毒感染，有恶意的代码被包含在文件的资源数据中，因火绒查杀深度较深，所以会检测出恶意代码。

火绒团队早在2015年就发现该产品组件携带恶意代码，并告知过该公司，但问题至今未被解决。火绒团队推测，这可能是供应链污染造成的，该组件的编写者开发环境被病毒感染，导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻，也不会造成大面积扩散，但的确是潜在风险。
据了解，这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位，火绒强烈建议该产品供应商尽快排查开发供应链，彻底解决该问题。

二、分析
近期，有用户反馈火绒检测到VRVNAC“桌面监控”一组件包含病毒。火绒分析师分析后，发现该组件（AdvancedAll.dll）的资源文件中的网页资源被病毒感染（火绒检测为：TrojanDropper/Ramnit.f），并且该恶意代码早在2015年就被该组件携带，至今仍未修正该问题。VRV产品及火绒报毒界面，如下图所示：

模块加载列表

火绒查杀图

签名比较
火绒反病毒引擎在扫描AdvancedAll.dll文件是会对该文件的资源数据一一分析并扫描，所以虽然恶意代码被包含在文件的资源数据中，但是仍会被检测到。如下图所示：

资源文件被感染的网页文件，执行条件比较苛刻（需要IE6浏览器内核渲染，并设置浏览器安全等级为低），所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后，病毒代码会尝试释放并执行恶意代码，如下图所示：

释放svchost被感染的网页文件在执行后会在TEMP目录下创建svchost.exe文件，并将二进制数据（PE文件）写入到已创建的文件，然后执行。提取到的部分代码，如下图所示：

释放病毒文件当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中，然后遍历全盘并感染EXE、DLL、HTML、HTM文件，用于传播自身。感染逻辑以及运行截图，如下图所示：

感染逻辑