腾讯哈勃分析系统:开学季小心三种欺诈
哈勃分析系统宣布7月份威胁情报——Gh0st根据恶意网络协议,Gh0st根据恶意网络协议对比活跃的木马,变种较多,包括原版和KrisR变种版比较活跃。 ??克日,腾讯平安团结实验室反病毒实验室哈勃分析系统,宣布7月份威胁情报情况——Gh0st《恶意网络协议》(以下简称《叙述》)指出,哈勃分析系统对7月份捕获的威胁情报进行了协议分析,发现,Gh0st按恶意网络协议分类后,对比活跃的木马,变种较多,对比活跃的是原版和KrisR”变种版本。差别变种会倾向于使用差别的C&C以动态域名为主的服务器域名。
(Gh0st木马趋势变化图) ??数据显示,Gh0st及其各种变种木马是七月活跃较为显着的一类木马,且在上旬活跃度到达峰值。据了解,Gh0st木马可以窃取用户电脑中的各种信息,是著名的后门木马之一。2008年,木马作者自动宣布了其源代码,导致许多罪犯根据该代码修改和开发了不同的变体木马。现在有多个版本Gh0st网上传播木马代码,变种多,网络协议模式不稳定Gh0st木马的一大特点。 ??通过研究,哈勃分析系统发现这些木马主要从源代码协议Magic修改字符串、类型标识对应的值以及数据结构中的字段和寄义。钓鱼邮件恶意快捷方式 腾讯电脑管家准确拦截
协议的Magic字符串是犯罪分子在制作变种木马时最常被修改的位置。Gh0st使用了木马的一些网络协议Magic字符串,默认字符串是木马的名字Gh0st,大多数变种使用Magic字符串保留与Gh0st长度相同,或在此基础上重复两次或三次,直接使用少量变种Magic字符串完全不同。《讲述》显示原版Gh0st重复版Gh0stGh0st”以及“KrisR变种版是比较活跃的木马,三者比例达到88.65%。
(Gh0st木马与Magic字符串分布图) ??此外,通过毗邻木马,哈勃分析系统C&C分析服务器中使用的域名,发现域名是按的Magic字符串集的趋势,使用差异Magic不同的服务器域名也会同时更换字符串的变体。Gh0st动态域名也被广泛用于定位变种木马C&C服务器。 
(Gh0stGh0st木马C&C服务器域名热分布图)
(KrisR木马C&C服务器域名热分布图) ??腾讯反病毒实验室哈勃分析系统建议用户从正式网站或官方网站下载和使用软件,不要相信小型网站、网络磁盘共享文件和群体、论坛等社交渠道推荐的软件。对于不安全的软件,可以使用哈勃分析系统进行测试。如果发现风险,建议安装腾讯计算机管家等安全软件,并保持其运行状态。同时,可以使用一些防火墙软件来监控和阻止符合已知恶意网络协议特征的网络数据包。 【关键词】腾讯电脑管家 Gh0st KrisR C&C服务器 Magic字符串 木马成直播平台刷粉工具 腾讯电脑管家12.0拦截