Sirefef恶意软件(又名ZeroAccess)可以采用多种形式。它被认为是一个多组件恶意软件系列,这意味着它可以以各种不同的方式实现,例如rootkit,病毒或特洛伊木马。
Rootkit的
作为rootkit,Sirefef使用隐形技术为攻击者提供对系统的完全访问权限,以便隐藏其受影响设备的存在。 Sirefef通过更改操作系统的内部进程来隐藏自身,以便您的防病毒和反间谍软件无法检测到它。它包括一个复杂的自我防御机制,可以终止任何试图访问它的安全相关进程。
病毒
作为一种病毒,Sirefef将自己附加到一个应用程序上。运行受感染的应用程序时,会执行Sirefef。因此,它将激活并传递其有效负载,例如捕获敏感信息,删除关键系统文件,以及为攻击者启用后门,以便通过Internet使用和访问您的系统。
特洛伊木马
您也可能以特洛伊木马的形式感染Sirefef。 Sirefef可以将自己伪装成合法的应用程序,例如实用程序,游戏甚至是免费的防病毒程序。攻击者使用此技术诱骗您下载虚假应用程序,一旦您允许应用程序在您的计算机上运行,就会执行隐藏的Sirefef恶意软件。
盗版软件
您的系统可能有多种方式感染此恶意软件。 Sirefef通常通过促进软件盗版的漏洞进行分发。盗版软件通常需要密钥生成器(密钥生成器)和密码破解程序(破解)来绕过软件许可。当盗版软件被执行时,恶意软件会用自己的恶意副本替换系统关键驱动程序,试图欺骗操作系统。随后,每次操作系统启动时都会加载恶意驱动程序。
受感染的网站
Sirefef可以在您的计算机上安装的另一种方法是访问受感染的网站。攻击者可能会利用Sirefef恶意软件破坏合法网站,当您访问该网站时,该恶意软件会感染您的计算机。攻击者还可以诱骗您通过网络钓鱼访问不良网站。网上诱骗是向用户发送垃圾邮件的做法,目的是诱使他们泄露敏感信息或点击链接。在这种情况下,您会收到一封电子邮件,诱使您单击指向受感染网站的链接。
有效载荷
Sirefef通过对等(P2)协议与远程主机通信。它使用此通道下载其他恶意软件组件并将其隐藏在Windows目录中。安装后,组件能够执行以下任务:
- 停止Windows防火墙 - Sirefef尝试关闭Windows防火墙以确保其自身的流量不会中断。
- 停止Windows Defender服务 - 通过停止Windows Defender,Sirefef可以执行其恶意代码而不会被检测到。
- 更改Internet浏览器设置 - 您可能会在Internet浏览器中遇到更改,例如更改主页和修改搜索引擎结果。
- 联系远程主机 - Sirefef可以发送有关受感染计算机的信息,并可以创建其他受感染计算机的网络,以协调更大的攻击,例如僵尸网络(僵尸)攻击。
- 创建用于存储其他恶意软件的文件夹 - Sirefef将下载其他恶意软件并将其存储在隐藏文件中。
Sirefef是一种严重的恶意软件,可以通过各种方式对您的计算机造成损害。安装后,Sirefef可以对您计算机的安全设置进行持久修改,并且很难删除。通过执行缓解步骤,您可以帮助防止此恶意攻击感染您的计算机。
