近期有公安、氣象等行業若干單位反饋，他們使用“火絨安全軟件”檢測出VRVNAC“桌面監控”軟件攜帶惡意程序，請火絨確認。經分析，該產品所使用的功能組件（AdvancedAll.dll）遭Ramnit病毒感染，惡意代碼被包含在文件的資源數據中，因火絨查殺深度較深，所以會檢測出惡意代碼。

一、概述

火絨團隊早在2015年就發現該產品組件攜帶惡意代碼，並告知過該公司，但問題至今未被解決。火絨團隊推測，這可能是供應鏈污染造成的，該組件的編寫者環境被病毒感染，導致相關組件帶毒。雖然這段惡意代碼激活條件比較苛刻，也不會造成大面積擴散，但的確是潛在風險。

據了解，這款被病毒污染的VRVNAC 軟件廣泛應用於公安等行業單位，火絨強烈建議該產品供應商盡快排查開發供應鏈，徹底解決該問題。

二、分析

近期，有用戶反饋火絨檢測到VRVNAC“桌面監控”一組件包含病毒。火絨分析師分析後，發現該組件（AdvancedAll.dll）的資源文件中的網頁資源被病毒感染（火絨檢測為：TrojanDropper/Ramnit.f），並且該惡意代碼早在2015年就被該組件攜帶，至今仍未修正該問題。VRV產品及火絨報毒界面，如下圖所示：

模塊加載列表

火絨查殺圖

簽名比較

火絨反病毒引擎在掃描AdvancedAll.dll文件是會對該文件的資源數據一一分析並掃描，所以雖然惡意代碼被包含在文件的資源數據中，但是仍會被檢測到。如下圖所示：

資源文件

被感染的網頁文件，執行條件比較苛刻（需要IE6瀏覽器內核渲染，並設置瀏覽器安全等級為低），所以在實際用戶環境中不容易被激活。在構造了上述環境並通過IE瀏覽器加載該頁面激活改病毒後，病毒代碼會嘗試釋放並執行惡意代碼，如下圖所示：

釋放svchost

被感染的網頁文件在執行後會在TEMP目錄下創建svchost.exe文件，並將二進制數據（PE文件）寫入到已創建的文件，然後執行。提取到的部分代碼，如下圖所示：

釋放病毒文件

當svchost.exe啟動後會將代碼注入到IEXPLORE.EXE進程中，然後遍歷全盤並感染EXE、DLL、HTML、HTM文件，用於傳播自身。感染邏輯以及運行截圖，如下圖所示：

感染邏輯

感染後文件