科技网

当前位置: 首页 >智能

红包快抢外挂木马分析及幕后黑手调查赵

智能
来源: 作者: 2019-01-14 01:28:05

“红包快抢”外挂木马分析及幕后黑手调查

近期有友反馈,在群里下载运行了一款抢红包软件后,发现自己的电脑就被黑客接管控制了,非常担心重要数据和账号泄露。根据友提供的这款名为红包快抢的外挂进行分析,360QVM团队发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权。

红包快抢木马技术分析

当程序执行后会获取临时目录C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp,在目录下创建目录西方国家只知道纳屠杀犹太人_ir_sf_temp_0,并在目录下释放e和lua5.1dll。

这里恶意程序通过利用IndigoRose出品的一款安装程序制作工具Setup Factory,而e通过__IRCT:0 __IRTSS:0 __IRSID:S- __IRAOFF: __IRAFN:C:\Documents and Settings\Administrator\桌面\e __IRCT:0 __IRTSS:0 __IRSID:S--这段参数启动。

程序文件对文件的操作如上图,当e将TenioDL_l、e、t等文件释放完后,通过启动C:\Documents and Settings\Administrator\Application Data目录下的e。而e执行会导入同目录下的TenioDL_l这个文件。玻璃是很平整的

而该目录下的TenioDL_l并非e真正所需加载的dll文件。它是伪造的一个dll文件,它提供同样的输出表。所以,在e调用TenioDL_l的时候,就会调用该目录下这个伪造的DLL,执行相关的恶意行为。

而TenioDL_l主要是将C:\Documents and Settings\Administrator\Application Data下的t解密到内存中。

并且会对解密出来的文件进行判断,判断是否为PE文件。

随后分别在policydefine和slimit两个目录下释放文件。

e随后通过启动程序e ,读取同在slimit目录下的t文件到内存中解密执行,随后与建立连接。

而slimit目录下的t通过算法解密出来,得知它是一个dll文件。

解密前

解密后

解密算法

而该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动。这里主要是t在内存中解密执行过程中,

将slimit目录下的e添加到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run启动项中。

最后,通过抓包工具捕获到后门程序尝试与176.9.12.95:2016进行连接访问的数据包。

追踪牧马人

而这个IP指向的域名为,通过查询得知该域名联系人的一些信息。根据易号码邮箱135****3776@的信息,推测牧马人有可能活跃在广东湛江。

凭借邮箱关联的号码在支付宝上进行查询,查询结果显示出疑似木马作者的姓名:

通过搜索引擎查找该姓名,发现其新浪微博、腾讯微博以及发布在求职站上的个人简历。

通过对木马分析和溯源可知,红包快抢外挂木马本身的技术水平并不高,木马作者也不擅长隐匿行踪,但由于自动抢红包充满了诱惑,以至于不少人宁可关闭安全软件也要用外挂,有可能因此而中招。

360QVM团队提醒广大友,切勿轻信群等非官方渠道传播的外挂软件,上时一定要开启安全软件,在安全软件报警提示木马时及时查杀,不可冒险使用可疑外挂,以免遭遇严重损失。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

网络连接服务
三亚飞广州价格
简易小茶几报价

相关推荐