技术文章

近期，火绒团队截获一个由商业软件携带的病毒，并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中，该病毒策略高明、技术暴力，并攻

一、前言 1、“脚本类下载器”成为的恶性病毒的最大传播者 众所周知，勒索病毒等新型恶性病毒，常通过邮件来传播，“邮件欺诈——病毒下载器—&md

一、前言“壳”（Packer）——在安全领域同APT一样，是一个宽泛的概念，即指代一类对可执行代码及数据进行包装已达到隐藏、压缩或保护等目的的运行时代码。在

使得原本处在“黑产”中的“病毒制造者”纷纷变成软件推广渠道商，利用病毒技术和不法手段在互联网市场中大肆“吸金”。

互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”，投其所好地帮助用户使用盗版软件。但是“天下没有免费的午餐”，除了一部分破解爱好者提供的无害的免费激活工具之外，病毒制造者也瞄准了盗版人群，他们利用提供激活工具的机会，将恶性病毒植入用户电脑。

“白名单“，即一系列被信任的对象的集合，与”黑名单“对应，通常被用来实现”排除“类的逻辑。在安全领域中，”白名单“通常被用来优化对信任对象的分析逻辑或解决查杀、拦截逻辑所产生的误报等。

恶性木马病毒“小马激活”加速蔓延，每天感染数万台电脑。该病毒以修改首页倒卖流量为目的，会主动攻击安全软件，让用户电脑完全失去保护。

随着安全软件与病毒之间攻防对抗的不断白热化，病毒的更新换代也日益频繁，其所使用的手段也日趋多样化。以最近大范围流行的“小马激活”病毒为例，其传播至今，据火绒发现的样本中已经演变出了五个变种。

在前一篇《“勒索病毒”深度分析报告》中，我们针对“勒索病毒”背后的黑色“生态链”及其猖獗泛滥的原因进行了分析。本篇，我们将试图通过代码级分析，更深入地揭开“勒索病毒”的神秘面纱。

从2013年下半年的CryptoLocker病毒, 到最近活跃的Tescrypt病毒。“勒索病毒”正在快速迭代并迅速传播，随着互联网的发展和成熟，病毒的地域化差距被拉近，“外来”病毒在国内产生的安全事件日渐频仍。

从2015下半年开始，国内“勒索病毒”案例骤增，这类病毒会将电脑文件恶意加密，然后索要钱财，为了解锁一些高价值文件资料，受害者必须交付数千至数万元的赎金。

恶性病毒“苏拉克”流行态势愈发猖獗，此病毒会锁定劫持浏览器首页，更严重的是该病毒会禁止安全软件驱动的加载，使火绒安全软件、360安全卫士、腾讯管家、百度卫士等主流安全软件无法正常运行，使电脑处于不设防状态。