|
概述 近日,火绒威胁情报系统显示,HPAccess病毒非常活跃,感染量达数万台。经火绒工程师溯源分析发现,该病毒主要通过带毒激活工具(暴风激活,小马激活, KMS等)释放的Rootkit病毒下载传播,操纵用户计算机对其他网络地址进行DDoS(distributed denial-of-service)攻击等。对于上述激活工具下放的病毒以及关联的恶意网址,火绒均能拦截查杀。
代码分析 sssApp.exe模块主要启动Nidisplay.exe进行DDoS攻击。该模块运行后,首先会向C&C服务器发送上线消息,之后C&C服务器可以通过远程通讯的方式控制Nidisplay.exe模块发起或结束DDoS攻击。相关主要代码,如下图所示:
sssApp.exe主要代码逻辑 Nidisplay.exe模块为DDoS模块, 可以通过不同的方式(GET, POST, TCP)发送DDoS攻击,并且可以使用不同的UA头进行攻击。
UA头列表
TCP DDoS部分代码逻辑
| 
收藏