当前位置： && 知识详情
网银盗号木马分析：警惕暗藏在金融软件中的魔鬼
阅读：8769次
一、背景介绍近期,360成都反病毒中心拦截到一类隐蔽在话费充值软件包中的病毒,用户感染该病毒后,会出现资金被盗的情况。该病毒内含一系列技术手段躲避和干扰安全厂商,目前国内的多款杀毒软件尚不能查杀该病毒。因此,我们对该病毒窃取财物的过程进行了详细的分析,并提醒各安全厂商注意加强检测。经分析,该病毒的隐蔽性极强,且具备一定的自毁能力,在有效的生命周期内,能够调用其释放的远控程序和按键记录程序,进而获取用户输入的支付账户及密码等信息,盗取账户资金。二、病毒介绍病毒类型:盗号木马文件名:话费充值系统全国供应.rarMD5: 74952cea646d1df8b6c0文件大小:3,515,077Bytes这个软件包原本是一个话费充值软件,分析后发现,病毒作者替换了软件包中原有的软件更新程序,把自身的更新程序update.exe替换成了另外一个合法程序——实况足球8中的更新程序update.exe。并通过该更新程序为桥梁,白利用的方式来执行其它恶意组件。第一次运行该软件的时候病毒就会被执行且原程序也正常执行,一般用户很难发现异常。软件包中与盗号木马相关的样本信息如下:图1 360检出病毒样本在用户运行该软件时,主程序执行update.exe用于检测更新,而替换后的update.exe会根据配置文件update.ini中的配置项,启动恶意的批处理文件qiaoi.bat。qiaoi.bat首先会调用系统命令断开网络连接,以此干扰杀软云查功能,然后解密释放一个新的同名批处理文件qiaoi.bat并运行,新生成的qiaoi.bat会进一步释放出一个数字签名正常的播放器程序qiaole.exe和恶意组件PotPlayer.dll,接着qiaoi.bat也是通过白利用的方式启动qiaole.exe进而加载PotPlayer.dll执行。PotPlayer.dll会在内存中解密出两个可执行程序并分别注入系统进程svchost.exe及napstat.exe运行,运行在svchost.exe进程中的便是大名鼎鼎的灰鸽子木马,而运行在napstat.exe进程中的则是个按键记录程序,攻击者通过这两种手段结合,达到盗取用户账户资金的目的,整个病毒的执行流程如下:图2 病毒的运行流程图另外,病毒释放出来的所有可执行文件中,均写入了部分随机数据对抗杀软查杀,同时病毒的主要模块均由白签名文件通过白加黑的方式加载运行,这些都能干扰杀软对该病毒的检测与查杀。病毒首次执行后,在用户硬盘中常驻的文件如下:图3 病毒常驻模块三、详细分析1、病毒软件包病毒软件包原本是一个正常的话费充值软件,被病毒作者植入了木马。病毒作者将该软件包的更新组件替换为一个白签名程序并修改了该白签名文件的配置文件,使得更新组件被运行的时候就会运行病毒作者植入的恶意批处理文件qiaoi.bat(66da57c115b078e397baea)。图4 被篡改的配置文件qiaoi.bat运行后首先生成一个qiao.bat的批处理执行,该批处理执行“ipconfig /release”命令,将系统断网,干扰杀软的云查功能,接着释放出一个新的恶意脚本qiaoi.bat(d8283cba7f5dff7d7adc332)执行。恶意脚本中包含大量干扰分析的垃圾指令,同时也能对抗杀毒软件的查杀。图5 病毒脚本2、释放的qiaoi.bat(d8283cba7f5dff7d7adc332)如果系统没有安装杀毒软件,病毒的批处理脚本会释放出一个随机文件名的恶意程序并运行,在释放随机文件名恶意程序的时候,会在PE头部前面的几个字节中写入随机数据,这样使得每次释放的文件MD5不同。图6 写入随机字节如果被感染的系统安装了杀毒软件,病毒则再进行一次白利用,调用病毒其他模块,此时,病毒会释放出白签名播放器程序qiaole.exe和一个恶意模块PotPlayer.dll。图7 白签名文件qiaole.exe病毒通过qiaole.exe加载PotPlayer.dll,PotPlayer.dll会读取病毒文件c:\winst\qq.tmp解密出一个可执行程序(就是前面提到的随机文件名的恶意程序)并创建一个svchost.exe的傀儡进程将解密出的可执行文件注入运行。恶意脚本运行的同时,该软件包的原始程序正常运行,用户完全不知道已经有一个“恶魔”潜伏到电脑中。3、被注入的第一个svchost.exe读取病毒文件C:\winst\bhdll.tmp解密出另外一个可执行程序,创建第二个svchost.exe傀儡进程并将解密出的可执行程序注入运行。4、被注入的第二个svchost.exe该进程包含病毒主要功能,行为有:1)、访问.cn/s/blog_14a8f4af60102vrbo.html得到一段十六进制的文本数据并解密得到一个日期,当前分析得到的日期是“”;访问/special/time/得到当前的互联网日期,如果互联网日期大于解密出来的日期则病毒进行自毁操作,否则继续执行后面的操作。通过这种方式,攻击者可以利用网络云控病毒的存活时间,方便清理所有感染的计算机,在日后该病毒将从所有计算机上清除,间接保证了该病毒生命周期结束后不被发现。图8 获取网络日期2)、创建第三个svchost.exe傀儡进程并在内存中解密出一个可执行程序注入运行。3)、创建system32系统目录下的napstat.exe傀儡进程并在内存中解密出一个可执行程序注入运行。4)、清理病毒软件包中植入的恶意文件。图9 清理植入的病毒文件5)、枚举进程,如果有名为&aliimsafe.exe&的进程正在运行则结束该进程,删除进程文件并在该进程的目录下创建一个同名的文件夹阻止该文件被还原。以此干扰系统的安全保护功能,保证后面的键盘记录程序能正确的记录用户输入的阿里旺旺账户密码。图10 查找特定进程并进行破坏5、被注入的第三个svchost.exe经过分析确认运行在该进程中的是远程控制木马灰鸽子,这里不进行详细分析,以下是该木马的一些参数信息。图11 木马的上线地址及版本信息6、被注入的napstat.exe运行在该进程中的是一个按键记录木马。通过设置一个全局的键盘钩子对用户的按键信息进行记录。图12 安装键盘钩子在钩子过程中木马将记录到的按键信息写到文件C:\ProgramData\Microsoft\Windows\DRM\web\jilu.tmp。图13 记录到的按键信息木马还有一个触发时间为1小时的定时器,用于每隔一个小时发送按键记录到指定的电子邮箱,分析发现作者没有配置相关的参数,因此该定时器没有实际作用,但作者可以通过远程控制后门获取到按键记录。四、防范建议1、尽量通过官方网站或其他安全可靠的渠道下载软件;2、如果运行某软件时发现系统出现异常情况(如系统提示网络连接已断开等),应及时查杀木马;3、开启专业安全软件防护,如无必要尽量不关闭安全软件。
本文由 安全客 原创发布，如需转载请注明来源及本文地址。本文地址：/learning/detail/2575.html
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]([已注销])
(PaiPai派派)
(风来花葬)
第三方登录：当前位置：
iPhone盗号木马检测教程 不需要第三方源
编辑：Amao
来源：网络
前段时间的闹得沸沸扬扬，虽然苹果目前已经重置了这些账号的密码，各种大大小小的木马检测也是层出不穷，不过据个别网友反馈，在使用了一些检测插件之后出现了桌面图标全部消失的问题，而一些有“洁癖”的用户并不喜欢使用第三方的检测插件，那怎么检测iPhone是否中了盗号木马病毒呢？下面小编为大家推荐一个自行检测木马的方法。插件致iCloud账号泄露 怎么查询是否中招通过技术人员的分析可以得知，第三方盗号木马检测插件查杀的是iOS设备的【/Library/MobileSubstrate/DynamicLibraries/*】目录，然后提取查找关键字为“wushidou”，以此来检测是否为木马，所以我们可以手动查找和删除，目前已知的木马关键字有这些：【wushidou】【gotoip4】【bamu】【getHanzi】查找方法：第一步：cydia里下载Terminal（也可以用ifunbox的ssh）第二步：打开Terminal，点击感叹号，如下图第三步：进入shortcut meun，并按下图复制查马指令（防止手动输错）&第四步：点击back回到输指令界面，点击睡倒的感叹号，找到刚设置名称的快捷指令，之后代码就会自动输入，键盘点回车即可。&第五步：如果发现木马会再输出结果有：Binary file /Library/MobileSubstrate/xxx.dylib matches 字样，这个就是木马程序，在cydia里卸载这个木马插件，然后回到目录下看还存在dylib和plist文件吗？如果还存在删除这个dylib文件和对应的plist文件即可清理！（一般情况下是不存在的）然后记得改密码。如果返回结果为空就是没有查询到木马，如果返回结果是such file no search什么的，就是路径错误，检查是否输入错误（这里推荐大家复制指令）下面给出几条查询指令，方便大家复制：关键词：“wushidou”grep -r wushidou /Library/MobileSubstrate/DynamicLibraries/*关键词：“gotoip4”grep -r gotoip4 /Library/MobileSubstrate/DynamicLibraries/*关键词：“bamu”grep -r bamu /Library/MobileSubstrate/DynamicLibraries/*关键词：“getHanzi”grep -r getHanzi /Library/MobileSubstrate/DynamicLibraries/*
你可能还对一下内容感兴趣
【上一篇】
【下一篇】
推荐阅读：
看完这篇文章有何感觉？
苹果应用推荐
PP助手准备为您下载应用
未越狱版：鳄鱼小顽皮爱洗澡
如果在10秒后下载任务还没有开始，请下载并安装：
下载步骤如下：您所在的位置： &
24日病毒预报：谨防抗杀软能力的网游盗号木马
24日病毒预报：谨防抗杀软能力的网游盗号木马
51CTO安全频道今日提醒您注意：在明天的病毒中“QQ幻想盗号木马65697”、“伏特加感染下载器81920、“李代桃僵”和“疯狂下载者”都值得关注。
【 独家报道】51CTO安全频道今日提醒您注意：在明天的病毒中“QQ幻想盗号木马65697”、“伏特加感染下载器81920、“李代桃僵”和“疯狂下载者”都值得关注。
一、明日高危病毒简介及中毒现象描述：
◆“QQ幻想盗号木马65697” 这是个具备一定对抗杀软能力的网游盗号木马。它在进入系统后，会立即抢先搜索卡巴斯基的警告窗口和瑞星的注册表监控提示窗口，防止卡巴和瑞星向用户报告系统异常。此后，它每隔1毫秒的时间，就重复一次搜索，确保卡巴和瑞星永远都无法向用户发出警告。
与此同时，该毒会在系统中释放出两个病毒文件，分别为%WINDOWS%目录下的病毒主文件mfchlp.exe，以及%WINDOWS%\system32\目录下负责盗号的mfchlp.dll。前者会被写入系统注册表，以实现开机自启动，而后者则负责注入系统桌面进程explorer.exe，查找网络游戏《QQ幻想》的进程。
Mfchlp.dll会试图通过全局监视程序，注入到所有进程中，通过读取它们的相关函数来找到《QQ幻想》的进程文件qqffo.exe，读写其内存，获取网络游戏账号和密码以及其它私人信息，然后通过网络收信空间发给木马作者，给用户造成虚拟财产的损失。
关于该病毒的详细分析报告，可在金山病毒大百科中查阅
◆“伏特加感染下载器81920” 这个盗号木马同样具备一定的对抗杀软能力。它进入系统后会先检测用户电脑里是否有杀毒软件“卡巴斯基”，如果有，便通过修改系统时间为1984年的办法，让依赖系统时间进行激活和升级的卡巴失效。在这个过程中，如果用户电脑中有其它软件也是要依赖系统时间的，那它们也同样会受到影响。
接着，病毒在系统盘根目录下释放出病毒文件avp.exe，在%Program Files%目录下释放出下载列表ver.txt，然后开始运行，根据列表中的地址去下载更多其它的病毒文件，以及获取最新的下载列表。此处需注意，这个由病毒释放出的avp.exe文件，与卡巴斯基的执行文件名称一样，具有一定的伪装性，但因为是出现在系统盘根目录下，就可以以此来识别它。
除了在本机上进行下载，该病毒还会感染中毒电脑上的全部EXE可执行文件，如果用户将它们拷贝到别的电脑上，病毒就可以实现扩散。当用户启动这些被感染的文件时，病毒就会启动，从病毒作者指定的远程服务器下载最新版本的自己和下载列表，然后循环以上的过程。
根据毒霸反病毒工程师的分析，该毒下载的其它病毒中，绝大部分是针对网络游戏以及用户隐私资料的盗号木马，如果该毒能在用户电脑里顺利运行，那么将引发无法估计的更大损失。
关于该病毒的详细分析报告，可在金山病毒大百科中查阅
◆“李代桃僵”该病毒为木马，病毒运行后释放病毒到当前运行路径下创建1.inc文件，在系统目录下创建_uninsep.bat删除1.inc文件。并回写文件到系统盘符的All Users用户文件夹下启动中，目的是达到任意用户登陆系统运行病毒文件。映像劫持多种反病毒软件和系统监视软件。当释放的QQgame.exe文件随系统启动后会连接网络下载新的病毒文件，窃取用户信息。由于下载大量病毒文件，给病毒的清理带来了极大的不便。建议用户即使更新防病毒软件的病毒库，以防止病毒的入侵。改病毒有一定的潜伏期，建议用户定期为系统进行扫描，在病毒没有发作之前就进行防御。
◆“疯狂下载者”该病毒为蠕虫病毒，病毒运行后，获取本地时间,病毒通过调用Process32Next函数遍历进程搜索"AVP.EXE"安全软件进程,如果存在则把系统时间修改成2001年, 目的使卡巴主动失效，查找svchost.exe进程，通过GetProcessMemory读取内存空间，查到该进程后申请内存空间并创建进程，连接网络下载大量恶意文件；扫描用户所在网络，若发现存在默认共享或弱口令则传播自身。
二、针对以上病毒，51CTO安全频道建议广大用户：
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。
3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。
截至记者发稿时止，金山、安天的病毒库均已更新，并能查杀上述病毒。感谢金山毒霸、安天为51CTO安全频道提供病毒信息。
【相关文章】
【责任编辑： TEL：（010）】
关于&&&&的更多文章
昔日我们深信不疑的存储助手――U盘，如今为何却成为危害我们的
网友评论TOP5
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
网康科技2011年新产品发布暨全国巡展今天正式启动，今
去年，OWASP峰会在京召开，会议上就提出了关于OWASP十
Web Application Firewall又名WEB应用安全防火墙，简
《程序员密码学》涉及密码学的各个研究方向，分组密码、散列函数、公钥密码以及相关的攻击，同时也讲解了密码学算法实现上常用的
51CTO旗下网站