【木马分析】远控盗号木马伪装成850Game作恶
很喜欢配图
前言
近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。木马一旦入侵电脑,将盗用包括主机名、系统版本、磁盘信息、键盘操作信息等数据,并进一步实现窃取游戏账号及远程控制等恶意操作。
伪造的850Game钓鱼网站
木马伪装
木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹“$MSRecycle.Bin”,并在其中释放木马程序并将其执行起来。有了正常安装程序做“伪装”,该盗号木马可以在用户毫不知情的情况下侵入电脑。
木马分析
“$MSRecycle.Bin”目录下的“TsiService.exe”执行后,会读取同目录下的“xp.ios”进行解密再通过加载到内存中执行。
通过解密算法对“$MSRecycle.Bin”目录下“xp.ios”进行解密,我们就能得到木马程序。
解密前
解密后
遍历进程,检测杀软
连接CC地址:www.gam564.com,端口为19999
获取用户信息
获取主机名
获取系统版本
通过cmd命令创建guest用户,并提升权限置管理员
通过将$MSRecycle.Bin”目录下的MicroRecycle.dll添加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\dllpath中实现开机启动
获取键盘信息
除了上面描述的行为外,程序还会开启计算机3389端口、远程接受命令、创建用户等等行为,这里就不再赘述了。
考虑到最近有大量用户反馈遇到很多这样伪装成棋牌游戏的站点,我们对上述伪造棋牌游戏的木马涉及的域名信息(gam850.com)继续进行追查,我们得到了该域名的所有者的名称和联系邮箱。
通过查询该邮箱进行邮件反查,得到这个邮箱关联的两个域名。
而993game.com同样也是一个伪装成棋牌游戏的网站,下载的电脑版的游戏大厅程序也是一个木马程序,功能与gam850.com中的木马程序差不多,就不再重复了。整理前面获取域名的信息,我们将两个域名进行简单的关联:
在后续的样本分析过程中,又发现一些网站同样是通过伪造成game850棋牌游戏进行传播木马程序,域名如下表:
从gamebb.tw下载的850lobby.exe这个伪装成棋牌游戏的程序,它在执行安装的过程中会先在临时目录中创建正常的game850游戏安装包并将其执行,给用户一种程序正在正常安装的假象。
其实,它在后续的过程中会在C:\\WINDOWS下释放一个木马程序,随后再利用创建的vbs脚本将自身删除。木马的主要主要行为:
连接CC地址:wuu.us
拷贝自身到C:\\WINDOWS目录,文件名为随机的6个字母。
添加DirectX服务项实现开机自启动,达到常驻受害者电脑的目的
创建vbs脚本将执行程序自身删除
遍历进程,检测杀软程序
联网下载文件
获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)
开启3389端口、键盘记录、远程接受命令、创建用户等等
同样的,我们也对by850.com下载的850lobby.exe进行了简单的分析,这个伪装棋牌游戏的木马程序主要行为有:
将植入远控木马的时间存到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia msmaowaw中的MarkTime
通过在115.28.72.212:8080上下载正常的850棋牌游戏到C盘目录下并执行,伪造程序正在正常安装的假象。
将木马程序自身添加到启动文件夹中,实现开机自启
连接CC地址:www88369.com
遍历进程,检测杀软
获取用户信息(主机名、系统版本、磁盘信息、用户名、CPU信息等等)
开启3389端口、键盘记录、远程接受命令、创建用户等等
继续对这两个木马程序访问的两个CC地址进行追查得到这两个域名的注册人和注册邮箱信息。
而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。
传播方式
由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下:
通过查询域名持有者的邮箱信息,整理得到这一批伪装成棋牌游戏网站的域名持有者邮箱信息如下:
通过整篇分析下来,我们发现这些伪造成棋牌游戏的木马所涉及的技术相当普通。它们只不过是幕后的那些操作者通过注册与正规棋牌游戏域名相似的域名,并将木马与棋牌游戏捆绑在一起上传到伪装成棋牌游戏的站点上诱骗用户下载。
最后提醒广大用户,在上网时切勿轻易点击来历不明的邮件附件、网页链接以及推广广告等,同时要做好安全防护措施,不要轻易透露个人信息,切实提高防范意识和自防能力,避免造成不必要的损失。
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3054.html
【木马分析】远控盗号木马伪装成850Game作恶相关推荐
- 另类远控:木马借道商业级远控软件的隐藏运行实现
360安全卫士 · 2015/10/20 13:51 提起远控木马,灰鸽子.Gh0st等等都是臭名昭著.与这些木马相比,商业级远控软件的监控能力毫不逊色,只不过这类软件有着合法身份,并且在安装和运行时 ...
- 利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法
一.下载 "CS-闪电攻击" 百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4HsSQ,提取码:fdvb CS分为两部分:客户端.服 ...
- Cobalt Strike入门教程-通过exe木马实现远控
Cobalt Strike(简称CS)有很多功能,这篇文章主要介绍最基本的功能:通过exe木马实现远程控制. CS分为两部分:客户端和Team Server服务端.这两部分都依赖Java 1.8,所以 ...
- 4、木马防范:木马分析检测及常见木马防护工具
主讲老师:郭盛华 什么是木马? 木马病毒是指通过特定的程序(木马程序)来控制另一台计算机,是目前比较流行的病毒文件.它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任 ...
- “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- #360移动安全#假冒淘宝远控木马
一.木马介绍 该木马具有很高的欺骗和隐藏性,在首次运行时并不会暴露自身身份,会通过打包udp数据包,将手机基本信息发送到指定的地址:www.baidu.com 端口: 8000,造成分析者困惑,以及欺 ...
- 糟糕!原来你的电脑就是这样被木马远控了
作者 | 杨秀璋,责编 | 夕颜 出品 | CSDN博客 头图 | 视觉中国 这篇文章将详细讲解远控木马及APT攻击中的远控,包括木马的基本概念和分类.木马的植入方式.远控木马的通信方式.APT攻击与 ...
最新文章
- FFmpeg在Windows上通过dshow编解码方式设置为mjpeg并实时显示测试代码
- InnoDB和MyISAM区别
- oracle 用mybatis生成主键
- 与图像处理、图像识别有关的学术机构或会议
- 【架构】技术-工具-平台-语言框架
- OpenGL基本窗口和OpenGL 初始化
- 第十届 蓝桥杯样题 —— 信用卡号验证
- Mybatis构建sql语法
- android布局自适应小示例(用户反馈界面)
- Sqoop 使用指南
- php网上商城系统下载,php网上商城系统 v3.0 rc6
- 时代变迁,台湾的这个优势产业即将被中国大陆取代
- layui 表单模板
- apache服务器(修改主页文件、两个不同ip访问不同站点、统一ip不同端口访问不同站点)
- 树莓派控制超声波传感器
- 年薪40-80K *14 | 网境科技SLAM算法工程师、算法科学家招聘
- jfinal+poi导出excel
- 什么是面向过程与面向对象
- How to write conditional equations
- 你如何看待计算机图形的未来,2019上半年高中信息技术教师资格面试真题及答案(第二批)...