远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配置文件(setup.ini)便实现了对白程序的劫持,让正规软件的安装程序转眼变成木马安装的温床。
远控木马入侵后,会趁中招者不注意安装Teamviewer等远程工具,进一步伺机窃取中
招者的网银及游戏账号,实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示,该木马自7月11日集中爆发以来一直阴魂不散,更出现过多次小规模反弹,未来不排除利欲熏心的不法分子持续作案的可能。
下面以“迅雷9.1尊贵破解版”为例进行简要分析:
图1
文件相关性如下图所示:
图2
安装过程:
绿化.exe:将Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行:
通过比对迅雷官方文件发现官网包里并没这个文件。
图3
XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目,同时还执行了SDK目录下的AssistantTools.cmd。
图4
而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序,它会通过setup.ini的配置,安装软件。这个程序被木马利用,成为了木马的安装器。
setup.ini中的内容:
图5
Setup.ini中,执行的lobaby.pif实际是NirCmd,它是一套功能齐全的命令行工具,被攻击者用来执行木马安装,而执行的指令存储在2345Picture.log中。
2345Picture.log中内容为一段批处理:
图6
图7
head+tale为完整的木马PE
图8
图9
QMDL.exe文件是一个被木马利用的正常程序,会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。
图10
图11
图12
QMcommon.dll 利用zc.inf文件写启动项:
会将一段类似安装驱动的inf(主要用于添加QMDL.exe到启动项)写入到c:windowsTempzc.inf里,并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向:
图13
创建zc.inf:
图14
写入Zc.inf文件中的内容如下:
图15
QMcommon.dll:还会加载解密gif.txt内存执行
图16
到此为止,木马完成了安装。
危害:
加载解密gif.txt内存执行之后是一个远程控制程序,其CC服务器为:hayden.vancleefarpelspro.com
测试时连接到的是一个广东佛山顺德区的一个ADSL IP:219.128.79.36
图17
图18
图19
我们回头再看安装的所谓迅雷尊贵破解版,并没有实现什么功能上的破解,使用会员功能仍然需要充值。
图20
顺便还看到了被打包迅雷之前的下载列表,满满的加壳工具!
图21
回到这款远控,黑客在用户离开机器时,远程安装Teamviewer等远程工具,并在受害人完全不知情的情况下通过记住密码的旺旺登录淘宝、支付宝,进行购买礼品卡或转帐等操作。
图22
根据360的观察,该木马从7月11日开始集中爆发,在7月14日达到3500次的传播量。后在8月初的时候又出现了一波小的反弹,之后的传播则逐渐下降。
图23
与之对应的域名访问趋势也是类似:
图24
360安全卫士早已防御查杀该远控木马,在此建议广大网民,想获取VIP权限,还是通过正规渠道进行办理。如果想使用破解工具,也一定要在安全软件的保护下运行,一旦安全软件进行风险预警,切勿抱有侥幸心理继续安装运行。
图25
远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流相关推荐
- 移花接木大法:新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- 远控木马中的VIP:盗刷网购账户购买虚拟礼品卡
本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡,为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限.正因为有这种需求,各种所谓的"网盘不限速神器"或是 ...
- 安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播
前言 攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...
- [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...
- “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- msf之msfvenom的使用—使用Kali渗透工具生成远控木马
一.先解释一下 msfvenom取代了msfpayload和msfencode,常用于生成远控木马,在目标机器上执行后门,在本地机器kali中监听上线. (注意:msfvenom是在shell里使用的 ...
- 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...
最新文章
- Spline interpolation and Savitzki-Golay smoothing
- 《Node.js区块链开发》一3.5 亿书对DPoS机制的改进
- pandas中的DataFrame数据结构
- 求数组最小值及其下标
- hash算法的介绍 【清晰易懂】
- Android.自定义控件的实现 (转载)
- 解决maven打包报错:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:2.3.2
- ASP.NET的内置对象
- Python--JavaScript的对象
- 如何使用优化算法手动拟合回归模型
- 考勤系统之计算工作小时数
- paip.c++ cli 命令行 调用总结
- 在指定文件类型中递归查找到目标字符串
- 软考高项 : 计算题汇总
- JavaScript基础第06天笔记
- 卡巴斯基实验室:2019Q1 IT威胁发展趋势统计报告
- 人脸识别论文整理——深度人脸识别的大边缘余弦损失
- Tita的OKR:如何对OKR进行评分
- OpenGL 摄像机
- 百度地圖定位setScanSpan無效的問題