远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。
近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配置文件(setup.ini)便实现了对白程序的劫持,让正规软件的安装程序转眼变成木马安装的温床。
远控木马入侵后,会趁中招者不注意安装Teamviewer等远程工具,进一步伺机窃取中招者的网银及游戏账号,实现转账盗刷及窃取游戏装备等操作。据360监测全网数据显示,该木马自7月11日集中爆发以来一直阴魂不散,更出现过多次小规模反弹,未来不排除利欲熏心的不法分子持续作案的可能。
下面以“迅雷9.1尊贵破解版”为例进行简要分析:
图1
文件相关性如下图所示:
图2
安装过程:
绿化.exe:将Program目录下的XLGraphicPlu.DLL改名为XLGraphicPlu.exe并执行:
通过比对迅雷官方文件发现官网包里并没这个文件。
XLGraphicPlu.exe在桌面创建迅雷快捷方式图标并添加迅雷安装相关注册表信息以此掩人耳目,同时还执行了SDK目录下的AssistantTools.cmd。
而有意思的是AssistantTools.cmd实际是蓝牙软件BlueSoleil的安装程序,它会通过setup.ini的配置,安装软件。这个程序被木马利用,成为了木马的安装器。
setup.ini中的内容:
Setup.ini中,执行的lobaby.pif实际是NirCmd,它是一套功能齐全的命令行工具,被攻击者用来执行木马安装,而执行的指令存储在2345Picture.log中。
2345Picture.log中内容为一段批处理:
head+tale为完整的木马PE
QMDL.exe文件是一个被木马利用的正常程序,会主动去加载同目录下的QMCommon.dll文件。而该dll文件实际是一个含有恶意代码的木马程序。
图10
QMcommon.dll 利用zc.inf文件写启动项:
会将一段类似安装驱动的inf(主要用于添加QMDL.exe到启动项)写入到c:windowsTempzc.inf里,并将rundll32.exe改名为zc.exe,同时创建zc.lnk指向:
创建zc.inf:
写入Zc.inf文件中的内容如下:
QMcommon.dll:还会加载解密gif.txt内存执行
到此为止,木马完成了安装。
危害:
加载解密gif.txt内存执行之后是一个远程控制程序,其CC服务器为:hayden.vancleefarpelspro.com
测试时连接到的是一个广东佛山顺德区的一个ADSL IP:219.128.79.36
![揭秘假破解工具背后的盗刷暗流](http://image.3001.net/images/20170817/15029643418926.png!small)
我们回头再看安装的所谓迅雷尊贵破解版,并没有实现什么功能上的破解,使用会员功能仍然需要充值。
顺便还看到了被打包迅雷之前的下载列表,满满的加壳工具!
回到这款远控,黑客在用户离开机器时,远程安装Teamviewer等远程工具,并在受害人完全不知情的情况下通过记住密码的旺旺登录淘宝、支付宝,进行购买礼品卡或转帐等操作。
根据360的观察,该木马从7月11日开始集中爆发,在7月14日达到3500次的传播量。后在8月初的时候又出现了一波小的反弹,之后的传播则逐渐下降。
与之对应的域名访问趋势也是类似:
360安全卫士早已防御查杀该远控木马,在此建议广大网民,想获取VIP权限,还是通过正规渠道进行办理。如果想使用破解工具,也一定要在安全软件的保护下运行,一旦安全软件进行风险预警,切勿抱有侥幸心理继续安装运行。
- 如何在Silverlight4中使用摄像头
- Flask的集中控制
- 64位IIS(IIS6/IIS7)上跑Asp + Jet.Oledb的设置要点
- windows 2003 32位系统能支持的最大内存数
- .Net Core内存回收模式及性能测试对比
- silverlight中顺序/倒序异步加载多张图片
- MySQL数据库性能优化之三
- 谁说 Java 要过时?2017年Java 大事件一览及未来前瞻
- mongodb的用法
- silverlight中如何将string(字符串)写入Resource(资源)?
- Python练习环境搭建-引入预定义数据
- 振幅和成交量的关系
- silverlight中的几个冷门标记 {x:Null},d:DesignWidth,d:DesignHeight
- 用scikit-learn和pandas学习线性回归
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android中封装RecyclerView实现添加头部和底部示例代码
- Python 十六进制hex-bytes-str之间的转换和Bcc码的生成
- android中实现手机号码的校验的示例代码
- Android ListView实现下拉加载功能
- Android 截图功能源码的分析
- Docker下搭建禅道管理系统
- Android如何通过Retrofit提交Json格式数据
- python-jsonpath 解析神器
- Android中自定义ImageView添加文字设置按下效果详解
- Android中使用Kotlin实现一个简单的登录界面
- Android编程实现webview将网页打包成apk的方法
- Android 实现代码混淆的实例
- Android中复制图片的实例代码
- Android 两种启动模式的实例详解
- Retrofit2.0 实现图文(参数+图片)上传方法总结