网站入侵

       

FBI勒索病毒来袭 哈勃首发专杀工具

计算机管家首次在国际杀毒网站上VirusTotal上检出一个巨大的Downloader,这种样本是指定的URL下载两个有害文件，加载下载DLL,并运行新下载的EXE，导致系统感染其他木马。                

   电脑管家第一次在 国际杀毒网站上VirusTotal上检出一个巨大的Downloader ，这些样本来自指定的样本URL下载两个有害文件，加载下载DLL,并运行新下载EXE，从而导致系统感染其他木马，其中DLL是个 stealer，EXE是个CTB-Locker。
   
   该样本在VirusTotal第一次扫描效果：
   
   
   
   整体流程图如下：    

   

   
       

   

   混淆加密：    

   

   样本使用了许多混淆的技术。首先，样本本身是用加密器加密的文件。在运行过程中，样本将在数据节中使用PE解密文件并直接加载到内存中。    

   

   二是解密PE在文件中，字符串也被加密。在程序运行过程中，在使用字符串之前将其解密。使用后，立即加密字符串。    

   

   以上都是手艺上的混淆。此外，样本将在自己的资源节中放置rtf在程序运行中打开文本文件，这是一个清洁文件(图1)。    

   

       

   

   
   
   下载    

   

   样本链接以下11个样本URL，通过WinHttpReadData等一系列API下载样本。    

   

   URL:    

   

   sintjoep.nl/images/efax.jpg    

   

   philippineswebservices.com/testing/efax.jpg    

   

   bmws1vc.altervista.org/listini/efax.jpg    

   

   www.ambiente4u.eu/aglextra/efax.jpg    

   

   pupillenwijhe92.nl/diversen/efax.jpg    

   

   piccolochef.com/wp-content/efax.jpg    

   

   stocksandstares.co.uk/docs/efax.jpg    

   

   scottwall.com/logs/efax.jpg    

   

   amberaffair.org.au/wp-content/efax.jpg    

   

   sompex.de/system/efax.jpg    

   

   scalextric.hostei.com/pub/efax.jpg    

   

   piccolochef.com/wp-content/efax.jpg这个链接可以下载到样本(图2)。    

   

   
   图2，下载样本    

   

   下载的代码加密如下：    

   

   typedefstruct_Download_Code{    

   

   DWORDchecksum;//thechecksumofthecodewhichoffsetfrom 8totheend    

   

   DWORDszTwoPeInfo;//thesizeofcodewhichoffsetfrom 8totheend    

   

   DWORDszFirstPE;//thesizeofthefirstPEfile    

   

   BYTE[]First_PE;//    

   

   DWORDszSecondPE;//thesizeothesecondPEfile    

   

   BYTE[]Second_PE;    

   

   }    

   

   下载代码通过简单的差异或解密后，将验证偏移8到尾部的验证和，以确保下载代码的完整性。
   
   
   操作下载文件    

   

   这个可以通过样本代码获得downloader下载的第二个文件是一个DLL且有个名为Grab_Psw样本将导出函数DLL直接加载到内存当中,运行DLL 入口，挪用Grab_Psw。需要提到的是，该DLL下载后没有写在硬盘上，所以被熏染的用户找不到。DLL.    

   

   这个DLL主要功能是盗号和窃取软件信息。涉及的软件包括：    

   

   FarManager    

   

   CuteFTP    

   

   WindowsCommander    

   

   TotalCommander    

   

   FlashFXP    

   

   FileZilla    

   

   BPFTP    

   

   TurboFTP    

   

   FFFTP    

   

   CoffeeCup    

   

   COREFTP    

计算机管家护航FIFA Online3 玩家不用担心中木马

   

   FTPExplorer    

   

   UltraFXP    

   

   Cryer    

   

   ExpanDrive    

   

   ClassicFTP    

   

   Fling    

   

   FTPClient    

   

   LeapFTP    

   

   MartinPrikryl    

   

   WebDrive    

   

   Opera    

   

   AceBIT    

   

   Firefox    

   

   SeaMonkey    

   

   LeechFTP    

   

   ALFTP    

   

   Adobe    

   

   Chrome    

   

   BlazeFtp    

   

   EasyFTP    

   

   Robo-FTP    

   

   LinasFTP    

   

   PuTTY    

   

   NovaFTP    

   

   WindowsLiveMail    

   

   RimArts    

   

   IncrediMail    

   

   Pocomail    

   

   RIT    

   

   InternetAccountManager    

   

   Outlook    

   

   木马通过注册表信息或一些配置文件窃取软件账户密码。加密获得的信息后，发送到随机的远端服务器(以上11URL其中一个)图案如下(图3):    

   

   ------XX    

   

   Content-Disposition:form-data;name="uploaded";filename="x.jpg    

   

   Content-Type:image/jpeg

   

       

   

   [GrabInfo]    

   

       

   

   ------XX--    

   

       

   

   图3，发送偷取信息    

   

   吸收乐成后，远端服务器将返回数据-“Confirmed”    

   

   今后，样本将下载第一份文件（EXE），保存到硬盘%到硬盘%TEMP%/<random.exe>通过挪用ShellExecuteWAPI运行此文件。这个文件是一个CTB-Locker.    

   

       

   

   
   
   现在腾讯电脑管家可以查杀这样的样本:    

   

       

       

第三方软件0day高级木马用于漏洞