新闻快讯
< >

大东话安全第十期之“染”——Nimnul

大东话安全第十期之“染”——Nimnul

西游记中曾说:道高一尺,魔高一丈。

东哥说:No,魔高一尺,道高一丈,邪不胜正!



大东话安全第十期之“染”——Nimnul-E安全

小白:食人虫来也,一切挡路者,退散!

大东:大清早的,小白你喊什么。

小白:牌上小虫虫的内心OS~

大东:神神道道,这张牌是Nimnul,该家族是一个感染式病毒,主要感染exe和html文件。被感染的文件运行时,首先释放并执行病毒文件,然后运行正常文件。病毒文件具有hook系统函数、注入DLL、创建启动项、等待连网控制、感染可移动储存介质等功能。

小白:Nimnul?尼莫!小丑鱼的亲戚~~

大东:(白眼)这孩子已傻。

 

小白:大东,我的电脑不知道怎么回事,有时候想要访问百度打开的却是一些其他的网站,我真的很苦恼啊,我还要追剧呢~

大东:那你用杀毒软件先查一下,是不是感染了什么病毒呀!

小白:噢!刚刚查了一下,说是什么Virus.Win32.Nimnul.a,这是个什么鬼东东?

大东:原来是Nimnul这个调皮蛋啊,你最近是不是为了追剧上了一些不安全的网站呀昂?

小白:呃……我……

大东:(坏笑)也难怪Nimnul会“咬”你呢。

小白:大东东救我!!!

大东:好吧,看在你虚心求教的份上,大东哥就勉为其难的告诉你,这个Numnul到底是什么吧~

Nimnul可是一个很调皮的病毒,如果你用杀软杀毒的话,比较头疼的是,无论你选择清除还是删除,所有染毒的exe文件都将废了,以至于这些软件都不得不重装!很多大咖年轻的时候,第一次遇到这种病毒的时候也和你一样束手无策。

小白:大咖也有年轻的时候啊~

大东:首先要对Nimnul做一个分析。

首先是分析染毒文件样本。可以发现,染毒文件比正常文件多出约60kB,即在原程序尾部附加了一个多余的程序块。染毒文件运行后,立即新建一个与源程序同名的一个文件,文件长度约50kB。另外,它还把自己安装在系统文件夹下,并感染 *.html等文件,启动ie浏览器,将可执行代码注入ie进程并执行,另外追加 svchost.exe 系统进程,目标指向http://www.161816.com/111.js。

小白:holy high!

大东话安全第十期之“染”——Nimnul-E安全

大东:当时的我也和你一样年轻,我也是第一次见到网页这种文本文件居然可以镶嵌可执行代码并执行的现象,真惊得我目瞪口呆,怪不得现在打开网页文件就会中招,这完全颠覆了人们以往必须下载文件才能中毒的传统观念,把病毒的传播渠道再次大大拓宽,令人防不胜防!

小白:公安部应该追查161816网站,把这些害群之马尽快绳之以法,还网页于安宁!

大东:另外,Nimnul可以通过感染可执行文件从而达到传播自身的目的。当该病毒感染受害者电脑的时候,它会建立一条与远程攻击者相连的密道,通过这个密道远程攻击者甚至能够远程控制受害者的电脑。这种可恶的病毒还能感染exe文件以及html文件,并窃取用户的敏感信息,比如密码等等,并且每当受害者电脑启动的时候,这种病毒都会自动启动。

怎么样?是不是对这种病毒感到一丝丝的恐惧?

大东话安全第十期之“染”——Nimnul-E安全

人们对Nimnul所带来的危害的担心,就像水手对水怪的恐惧

小白:是啊!对了,为什么我有时候访问的网站并不是自己想要访问的网站呢?

大东:这个嘛,主要是因为这种病毒的主要作用其实是在于感染计算机中的可执行文件,包括exe,甚至对html进行修改。也就是说,每当受害者启动他的电脑,这种病毒就会同时启动并且修改受害者的网络配置,在其浏览网站的时候重定位网络连接,也就是说你可能浏览的根本不是你自己想要访问的网站甚至有可能是攻击者恶意设计的网站。

大东话安全第十期之“染”——Nimnul-E安全

邪难胜正

小白:啊!这么危险的病毒难道就没有解决的方法了吗?

大东:正所谓,“道高一尺,魔。。。”,啊呸,正所谓”魔高一尺,道高一丈“,网络攻击与防范,本来就是攻与守的较量,无论什么病毒总会有解决的方法。而想要抵御一种病毒的破坏首先我们需要了解其弱点。

小白:(抢答)那这个病毒有什么弱点呢!

大东:你不要急嘛,听我和你慢慢道来。病毒体那50多字节都是追加到正常文件的尾部,专业称之为加了个 “壳”,这个“壳”就像是寄居蟹的壳……

小白:文松那样的寄居蟹?

大东:滚。将文件整个包裹起来,而其实质就是病毒的代码。只要把“壳”脱掉,正常文件就恢复了。WdfmgrKill 就是专门脱病毒“壳”的,稍作修改就能对付这种病毒。这种方法非常有效,专杀编制,而且还简单。

小白:那跟杀毒软件好像没有区别吧……

大东:与杀软相比,它最大的好处是,能将染毒的程序脱壳并还原出原程序,原程序不受任何损失,可正常运行,而不是像杀软那样采用简单删除或隔离染毒程序。

小白:哦?听起来很容易的样子,不知道操作起来咋样。

大东:脱壳过程中的难点是恢复原程序的的入口地址。Nimnul病毒吸取了Wdfmgr 病毒的失败经验,把原程序入口地址给隐藏了起来,直接搜索是搜不到的。如果使用动态跟踪,能发现它将原程序的入口地址加了一个与病毒入口地址之差的偏移量,隐藏在病毒块偏移 0x328 的地方。突破了这个难点,程序的编制很快就能完成了~

小白:这些病毒在大东东面前真是too young too naïve~~

大东:国内很多安全软件都已经具备了一定的扫描这种病毒的能力,能够及时发现系统中潜在的威胁,比如360急救箱,国外也有Reason core security。但是想要防御这种病毒最根本的方法还是注意自己的浏览网页的安全性啦,访问安全可靠的网站,避免接触到这种病毒才是真道理。

大东话安全第十期之“染”——Nimnul-E安全

Reason core security 安全扫描

 

 

小白:那么Nimnul这种病毒最好用什么产品来解决呢

大东:360系统急救箱(原顽固木马专杀大全)是360安全中心于2008年6月3日推出的一款无需安装的绿色软件,软件具有强力查杀木马病毒的功能。对各类流行的顽固木马查杀效果极佳,如犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。在系统需要紧急救援、普通杀毒软件查杀无效,或是电脑感染木马导致360无法安装和启动的情况下,360系统急救箱能够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,是电脑需要急救时最好的帮手。

大东话安全第十期之“染”——Nimnul-E安全

360急救箱

小白:啊啊啊,你不早说!!我的电脑经常感染各种木马呀!

大东:现在和你说也不晚,你知道吗,一直以来MBR病毒一直困扰这人们,因其潜伏在磁盘主引导区极难被杀毒软件检测查杀,即使重装系统也无济于事,成为许多电脑用户的噩梦。其更大的威胁还在于MBR病毒可暗中偷偷下发恶意指令,将用户电脑直接变成“木马大本营”或“病毒窝”,令用户深受其害。

小白:真是同病相怜啊~~

大东:“可怜之人必有可恨之处”呀,其实网上有很多查杀根除MBR的教程和专杀工具,就看你会不会用了。但对于绝大多数网民来说,由于缺乏专业知识,使用这些软件的难度较大,且稍有疏忽还可能直接破坏操作系统甚至是电脑硬件。但是如果能够学会搭配使用360“系统急救箱”和360安全卫士,就能轻松将此类臭名昭著的MBR病毒彻底查杀。

小白:真的嘛!!太好了,我的电脑还什么杀毒软件都没有呢!

大东:照你这么玩,你的电脑命不久矣啊!

小白:我乐意呀~~

 

小白:Nimnul我懂了,还有没有跟它相关的有意思的故事呀~

大东:漫威世界中的毒液是一种有思想的外星有机生命共生体,几乎以液体状的形式出现。它需要与一个宿主结合才能生存,并能赋予宿主强大的力量和能力。Brock过去曾是一位地球日报的成功的专栏作家,但是蜘蛛侠却害他丢了工作,并且使他成为同事和新闻界的笑柄。Brock把全部责任都归究在蜘蛛侠的身上,并且极其憎恨他,因此他和毒液在精神和肉体上都达到了融合,想要毒杀蜘蛛侠。

大东话安全第十期之“染”——Nimnul-E安全

毒液

小白:喔!可怕!

大东:毒液的释放的毒液就像一种病毒,会感染和侵蚀宿主,作为一名网络安全的从业者,很容易就会想到Nimnul,这个感染式病毒,感染exe和html文件,使得文件运行时,首先释放并执行病毒文件,然后运行正常文件。

小白:跟Brock一样,被感染的文件后就不再是文件它本人了!

大东:理解得很到位~