记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【木马分析】远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

2017-05-19 22:10
2017-05-19 12:57:25 阅读:3201次 收藏 来源: 安全客 作者:360安全卫士

http://pic1.hackdig.com/pp/e9bc9757a3269a7bcd34a164302bda732f2dea2afa75b5600b5943a75e03001b9e5826e85bdd2c3620e7a7e68e20d0c9.jpg

为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限。正因为有这种需求,各种所谓的“网盘不限速神器”或是“VIP助手”也就应运而生了。但这个工具那个助手的真就靠谱么?360互联网安全中心最近就连续接到了两起关于此类程序的举报。

两起举报的程序,一个是“百度网盘不限速工具”,而另一个则是“全网VIP解析助手”(视频网站VIP工具),而举报的原因全都是——自己莫名其妙的就购买了多张iTunes电子礼品卡。

http://p9.qhimg.com/t010de010fb4c47055e.png

以其中“百度网盘不限速工具”为例,现在依然可以在搜索引擎中轻松搜索到相关信息:

http://p9.qhimg.com/t017a6002acd727ec91.png

俗话说“做戏要做足”,这个木马还是挺专业的。如果你下载回来之后直接运行这个破解工具,其实是什么都不会发生的——因为他会查找百度网盘的进程:

http://p8.qhimg.com/t015269e02b42b89107.png

如果找不到百度网盘进程,就直接退出了,什么都不做。

http://p3.qhimg.com/t012542760bdb6983f8.png

而一旦存在有BaiduNetdisk.exe的进程,便会发起一个HTTP请求确认版本。

http://p8.qhimg.com/t014ae6f9488fff2800.png

然后会顺手patch一下BaiduNetdisk.exe的进程,但是不是真的能加速就不得而知了。不过这也不是重点,重点是patch完之后,它会继续释放了几个真正的木马文件:

http://p3.qhimg.com/t01565199fe3fc89c38.png

最后再把这个创建的SysteCsrss.exe跑起来

http://p2.qhimg.com/t01b9a15c5bbf598fd0.png

释放的三个程序,其实是一个比较典型的白利用远控木马。首先,SystemCsrss.exe带有“北京世纪奥通科技有限公司”的签名。

http://p1.qhimg.com/t01005a6cb359eb68db.png

而改程序启动的时候,导入表会自动加载那个libcef.dll:

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f6282839e5cb29e0bb545ed7df558e62387646c49c94a5949e75450617f71890d746f42.jpg

其次,这个libcef.dll实际上也只是一个Loader。一旦执行,回去加载并执行最后释放的那个名为data.lnk的ShellCode

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a033eb03c093db8003877bdb310c1f10bf2eff162d8e7554b99407baebe923ae093.jpg

运行起来之后,其实就是个普通的远控了——先是从一个服务器上拿到了远控上线域名:

http://p1.qhimg.com/t01b48d86937103bc76.png

之后就是远控上线,接受黑客控制:

http://p1.qhimg.com/t014e2fe3555177f2a9.png

最终,在受害人机器上展示出的现象就是在用户离开的时候,黑客利用远控程序向受害人机器下达命令,创建了一个新的管理员权限用户,再利用微软自带的远程桌面功能登录受害人机器(这样方便黑客使用图形界面操纵受害人机器):

http://p2.qhimg.com/t012501c3ccae9fc101.png

并在完全不知情的情况下使用受害人账户购买了多张iTunes电子礼品卡:

http://p7.qhimg.com/t0163e06f8a71ca0386.png

实际上该程序早已被360识别并查杀了:

http://p1.qhimg.com/t01d1fcf24d9b865183.png

而用户之所以中招,是因为用户有时太相信所谓的辅助工具被杀毒软件“误报”是正常现象,所以选择了自行将木马程序加入了白名单中:

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968ceeebb4f72382030ce163ea3d25ed79fd49838cb52dccada39fbcbf070fbc4a92fd.jpg

借此机会提供广大用户,360不会随便误报所谓的“外挂”或“辅助工具”,报毒一定有原因,为了自己的财产安全,请一定要相信安全软件的“判断力”。


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://www.hackdig.com/05/hack-45813.htm

知识来源: bobao.360.cn/learning/detail/3876.html

阅读:109594 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“【木马分析】远控木马中的VIP:盗刷网购账户购买虚拟礼品卡”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词