怎么阻止和预防Dyreza木马攻击Win10和Edge?
作者：佚名
字体：[ ] 来源：互联网 时间：11-22 12:56:59
怎么预防Dyreza木马攻击Win10和Edge?专门窃取凭证的木马Dyreza已经盯上win10和edge浏览器，你又要如何判断自己的电脑是否受到Dyre攻击了呢？下面分享Dyreza木马的预防和解决办法，需要的朋友可以参考下
据外媒报道，专门窃取凭证的木马Dyreza（以下简称Dyre）现将Windows 10和Edge浏览器也作为了新的攻击目标。此前，该恶意软件曾从数家供应链企业那里盗取过凭证。
据悉，Dyre通过植入浏览器执行并使用获得提升的权限对目标电脑跟特定域名的连接实时监控，然后在用户数输入凭证时盗走这些数据。该类型攻击还经常称为&中间人攻击&。
那么,你又要如何判断自己的电脑是否受到Dyre攻击了呢？微软称，如果电脑防火墙跳出了诸如explorer.exe、svchost.exe等允许更高程序访问权限的提示，那么证明你的电脑已经被感染。
另外，如果在Windows系统中发现了以下两种文件，则也证明你的电脑已经被Dyre木马病毒感染：
%APPDATA%\local\[random alpha numeric characters].exe
%APPDATA%\local\[random alpha numeric characters].exe
目前唯一能够破解Dyre的办法只有一个，那就是安装Windows 10推送的安全更新和Windows Update推送的Microsoft Edge更新。
此外，还有注意的一点是，Chrome、Firefox、IE同样也都是Dyre攻击的对象。
大家感兴趣的内容
12345678910
最近更新的内容偷天换日——新型浏览器劫持木马“暗影鼠”分析 | WooYun知识库
偷天换日——新型浏览器劫持木马“暗影鼠”分析
近日哈勃分析系统截获了一批新型浏览器劫持木马 “暗影鼠”，该木马通常被打包在压缩包内伪装视频播放器通过网页进行传播。该木马的主要功能是对浏览器访问导航页的流量进行劫持，重定向到自己的推广页，非法获取推广利润。该木马最早出现是在今年的4月末，5月初开始小范围传播，但是从5月23开始突然爆发，高峰期全网中此木马用户数超过30W每日，保守估计近期木马作者以此获利总额有近百万元人民币。
0x02 木马介绍
“暗影鼠”启动后首先释放大批子文件，如下图所示
释放文件列表图
主要子文件功能：
cBLK.dll 木马核心功能模块，注入浏览器进程，流量劫持
newts.exe 64位系统下kill浏览器进程
undoing.exe 获取木马作者后台的推广列表
run.bat 清空浏览器缓存和临时文件
clk.ini 木马使用的配置文件
“暗影鼠”核心作恶流程
该木马在释放了一批子文件之后，枚举当前系统中的进程，与设定好的国内主流浏览器进程名进行对比，如果发现这些浏览器进程的存活，则杀掉相应进程，并且生成一个相应被感染的浏览器主进程的可执行文件。然后拉起这个被感染的假浏览器进程，假浏览器进程会加载之前释放的核心功能dll，然后再dll中hook关键系统函数，进行流量劫持。
0x02 主要功能模块技术分析
1.遍历进程杀浏览器进程
进程名比较代码段
枚举进程，寻找国内主流浏览器进程名。在此本文以chrome浏览器为例，对木马母体的TerminateProcess函数下断点，查看第一个参数。
结束chrome进程
查看句柄的含义
procxp中查看句柄含义
句柄对应的就是chrome进程
任务管理器中查看chrome的进程ID
可见木马母体中去杀的进程就是chrome.exe。
2.“狸猫换太子”假浏览器出场
杀掉真的chrome之后，木马母体在chrome.exe的同级目录下创建了下边两个文件。
释放被感染的chrome
上图中的exe就是一个被感染的chrome，会在启动时加载cBLK.dll，然后执行其内部包含的真正的chrome.exe。
假的chrome启动后，我们用spy++查看当前的浏览器窗口归属
spy++查看窗口的进程归属
假chrome进程树
0:000& ?9d4
Evaluate expression: 2516 =
0x9d4转成10进制就是2516
可以看到现在使用的chrome就是被感染的chrome。
3.cBLK目的何在
调试器附加假chrome
由上图可知假chrome加载了cBLK.dll，这个dll的主要功能就是hook系统关键函数。
主要Hook点
hook LoadLibraryExw
阻止加载列表
这个hook点的主要目的就是防止安全软件的浏览器安全模块加载。
hook WSASend发现对导航页的访问时
监控的导航页列表
构造302页面
发现对上述导航页的访问，则构造相应的302跳转页面。
hook WSARecv将对应的302页面返回，达到劫持目的
返回302页面
上图中的代码是在cBLK的WSARecv的hook函数中找到的，后边会调用真正的WSARecv，使得浏览器误以为接收到了302跳转页面，达到劫持目的。
4.其他技术点
启动被感染的浏览器进程，该样本还使用了监控浏览器桌面快捷方式点击的方法，非主要技术点在此不展开介绍。该样本也hook其他模块加载和网络发送接收函数，道理和上边说的一致，也不重复了。
哈勃分析系统目前对此样本的已经查杀。
&乌云知识库版权所有 未经许可 禁止转载
为您推荐了适合您的技术文章:
还不是你们这些厂商默认的，直接这么劫持的 木马方式推广的不给结算不就好了，别说技术上不能实现。
刷流量的。。报告都出来的，md5还打什么码呢：
b688ce5661bde96ad4fcab
a29ec9e9d538ebbb12a99
感谢知乎授权页面模版主题信息（必填）
主题描述（最多限制在50个字符）
申请人信息（必填）
申请信息已提交审核，请注意查收邮件，我们会尽快给您反馈。
如有疑问，请联系
如今的编程是一场程序员和上帝的竞赛，程序员要开发出更大更好、傻瓜都会用到软件。而上帝在努力创造出更大更傻的傻瓜。目前为止，上帝是赢的。个人网站：。个人QQ群：、
CSDN &《程序员》编辑/记者，我的邮箱
一只文艺范的软件攻城狮，Keep Learn，Always.
傻丫头和高科技产物小心翼翼的初恋
全栈攻城狮不知道是怎么炼成的如何才可以预防手机木马病毒呀？_百度知道
如何才可以预防手机木马病毒呀？
提问者采纳
给手机安装手机管家都可以为你识别出来
给手机安装个预防病毒，查杀病毒的软件就可以了。手机管家就很不错!包涵的功能很多几乎是应有尽有。像什么潜在系统里的木马，钻漏洞的病毒，还有一些恶意的入侵等等手机管家都可以为你识别出来，把问题找出来，用最快的速度为你解决。都是一些一键式操作没有什么太过于繁琐的选项，主张干净利落。还有一些保护交易和隐私空间的防止病毒入侵功能也很全面。
提问者评价
其他类似问题
为您推荐：
木马病毒的相关知识
其他2条回答
给手机安装个预防病毒，手机管家就很不错!
我觉得安装一款防护手机支付安全的软件非常必要。我自己是安装的腾讯手机管家，我觉得还是很有效果的，比如说它在我付款前会自动检测我的支付环境是否安全，而且它还提供检测二维码是否有风险，判断连接的WiFi是否有安全隐患等作用,功能很齐全现在是61新版，更是加强了这方面的保护哟
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}