ACD-012
评分: +2+x
Screen%20capture

ACD-012在运行时计算机出现的画面

讯息:根据项目主管Mango提供的讯息,ACD-012具备已知的最上级信息危害性质。由ACD-012导致产生的任何误导性信息必须被在3h内从管理署主文件库删除并转移到数据库深层沙箱妥善保存。

描述:ACD-012是一种基于x86架构的计算机感染型恶意程序,最初被发现在管理署职员ParkerHedy Bacon的个人计算机内,具有穿透虚拟机和虚拟网络的异常能力。在运行时播放的画面会导致观看人员晕厥1,根据相关人员汇报,该程序会在工作目录下生成一些信息,这些信息的文件名通常为message.txt,值得注意的是这些信息经常发生变化,而且通常缺乏真实性,相关内容参阅附录A。

ACD-012具有多个不同的版本,已知的版本有0.6(第一个被发现的版本)、0.9(由研究员Maxine Anthony发现,与0.6几乎没有相似性)、0.11(与0.6有相似部分,疑似是从0.6修改而来),还有数个未知版本,所有ACD-012都有极强的信息危害属性,详细信息请查阅附录B。ACD-012运行时屏幕会播放一个天使形象的雕塑的图片并强制重启动计算机。

收容措施:ACD-012应被保存在没有安装网络驱动的虚拟机中,运行该虚拟机计算机不得储存任何资料,未经Researcher Mango主管的允许,不得使用该计算机

附录A:
在我们发现ACD-012时,共有5份message.txt被发现(文件名分别为message.txt和message(1-4).txt),其中message(2-4).txt暂时无法被解读(没有任何可见内容)

+ message.txt原文
+ message(1).txt原文

附录B:
版本号 发布者信息(并不一定是真实的) 编写语言 异常现象 信息危害现象 特殊行为
0.6 Unknown 疑似为Java 穿透虚拟机,播放致晕厥画面 破坏文档目录内的文件,生成误导性讯息 会窃取计算机或虚拟机的操作权限,取得运行虚拟机的设备的信息
0.9 Unknown 疑似为Java 穿透虚拟机,播放致晕厥画面,启用端口为6666的TCP协议2本地(Localhost:6666)服务器,该本地服务器可以穿透虚拟网络 根据文件系统内目录的文件数量,破坏文件数量比较多的目录内的文件、借助本地服务器向其他计算机分发ACD-012和误导性信息 会窃取计算机或虚拟机的操作权限,取得运行虚拟机的设备的信息
0.11 UBownkn C++ 穿透虚拟机,播放致晕厥画面,创建大量的系统账户导致系统瘫痪 生成误导性讯息,以Windows Defender的名义覆写文档目录内的文件 如果其运行在虚拟机中则不会有任何危害
0.12 AOSP Java 未知 未知 未知
1.4.1 汇编语言 未知 未知 未知
6.6 Pyrox Kandow 汇编语言 未知 未知 未知

附录C:程序行为(0.9)

行为危害等级 行为类型 行为描述
高危 反检测技术 隐藏该程序的图标、进程
高危 持久化 写入注册表,使程序开机启动
高危 系统敏感操作 禁用系统的一些功能,例如文件管理器、关机按钮
高危 系统敏感操作 禁用Windows的任务管理器(taskmgr.exe)
高危 系统敏感操作 删除safeboot相关注册表项以禁用登陆到安全模式
高危 系统敏感操作 以Administrator的名义关闭所有属性有“safe”关键词的软件
高危 硬件检测 读取计算机的硬件信息,检测自身是否在虚拟机中
高危 虚拟机逃逸 通过VMtools等虚拟机管理软件的端口穿透虚拟机,影响宿主设备
可疑 反逆向工程 这个二进制可能包含被加密或被压缩的数据,可能被加壳
可疑 系统敏感操作 检测Java环境
可疑 硬件检测 查询驱动器,用来检测虚拟机
可疑 系统敏感操作 禁用键盘以及任何键码输入来源
可疑 系统敏感操作 窃取具有写入物理驱动器权限的句柄
可疑 系统敏感操作 关闭了Windows的注册表编辑器(regedit.exe)功能
可疑 系统敏感操作 枚举进程或线程
可疑 系统敏感操作 在临时目录内创建多个可执行文件
可疑 系统敏感操作 结束多个系统进程
网络行为 端口操作 运行TCP服务器Localhost:6666
网络行为 文件操作 通过tcp://localhost:6666向局域网分发误导信息和ACD-012
Footnotes
除非特别注明,本页内容采用以下授权方式: Creative Commons Attribution-ShareAlike 0.1 License