压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

點擊詐騙的罪魁禍?zhǔn)祝杭夹g(shù)剖析Zero Access木馬

責(zé)編:admin |2015-04-22 10:31:44

Zero Access木馬可以在kernelinfo.com進(jìn)行下載。

在所有的分析中,第一步是隔離受影響的系統(tǒng)。在這之后,便是對整個系統(tǒng)進(jìn)行惡意軟件掃描。初看一眼,沒有什么有價值的東西,進(jìn)一步分析后在%TEMP%目錄下發(fā)現(xiàn)受感染的文件。同時在%SYSTEM%目錄下也發(fā)現(xiàn)了一個可疑文件,該文件是一個擁有ACL權(quán)限保護(hù)的配置文件。

提取文件并在沙盒中運行,確認(rèn)網(wǎng)絡(luò)指針。最終結(jié)果表明該文件屬于Zero Access的一個組件。

這個文件的名稱為fvshis.sav,文件內(nèi)容進(jìn)行了加密。

從內(nèi)存中提取可執(zhí)行文件中的字符串以及發(fā)現(xiàn)的幾個構(gòu)件,證實這是一個32位版本的Max++ dropper病毒組件。

14289964006539

接下來分析木馬的dropper組件,咋眼一看這程序竟然沒有殼?

14289965151307

然而,在使用一個復(fù)雜的自定義脫殼工具還是發(fā)現(xiàn)了它的保護(hù)殼。同時發(fā)現(xiàn)可執(zhí)行文件還有一個復(fù)雜的反匯編機(jī)制,這使得我們的分析變得更加有挑戰(zhàn)咯。

14289967943973

INT 2標(biāo)志著當(dāng)程序意識到程序正在被調(diào)試,允許系統(tǒng)中斷。也就是說這個程序可以檢測到自己是否在被調(diào)試,如果正在被調(diào)試它會結(jié)束自己。它的打包機(jī)制也使得這個木馬變得非常復(fù)雜。

1428997304450

我們發(fā)現(xiàn)dropper組件使用了一個復(fù)雜的封裝機(jī)制,拆包是在塊中進(jìn)行且每一個塊中都有一行反調(diào)試代碼。

dropper組件會一直使用這種方法進(jìn)行解壓直到整個文件解壓完成。如果分析者使用調(diào)試程序強行進(jìn)入這個周期,這個可執(zhí)行文件將會導(dǎo)致調(diào)試程序崩潰。經(jīng)過我們的不懈努力,這個樣品文件被解開。

樣本文件試圖訪問計算機(jī)中的幾個目錄:

14289978656207

從在代碼中使用INT2指令,我們意識到樣品文件可能是一個循環(huán)Zero rootkit,即它在內(nèi)核模式中運行。對樣品文件內(nèi)存分析完成之后,發(fā)現(xiàn)它在內(nèi)存中創(chuàng)建了一個互斥鎖。惡意軟件使用這種互斥,以確保系統(tǒng)不會再感染相同的樣本:

14289984795079

木馬將自己注入到一個合法的進(jìn)程(explorer.exe),并使用這個進(jìn)程加載自己:

14289985557887

其后,發(fā)現(xiàn)樣本本身作為一個內(nèi)核模塊隱藏在系統(tǒng):

14289986522873

在內(nèi)存中木馬偽裝為一個設(shè)備驅(qū)動程序的,該設(shè)備名為B48DADF8.sys ,我們對其進(jìn)行進(jìn)一步分析:

14289987825168

經(jīng)過初步分析,隔離受感染的系統(tǒng)后可疑流量源頭總算是找到了,以下為更詳細(xì)的分析:

1428998882173514289988951653

HTTP請求到一個特定的域:

14289989448666

dropper組件顯然在嘗試連接上面截圖中的地址,下載其他類型的病毒。

我們對這個域名進(jìn)行了如下分析:

14289986522873

解析IP地址后發(fā)現(xiàn)該IP地址位于瑞士蘇黎世,瑞士法律對于隱私保護(hù)十分到位,這使得瑞士被許多人稱贊,同樣的犯罪分子也十分熱衷瑞士!

14289992889004

進(jìn)一步對其域名分析顯示此域名有解析有3個IP地址,其中包括了上圖給出的那個。所有的IP地址都位于隱私保護(hù)極強的地區(qū)

14289994637424

我們發(fā)現(xiàn)這3個惡意IP地址被列入黑名單:

141.8.225.62 (瑞士)

199.79.60.109 (開曼群島)

208.91.196.109 (開曼群島)

盡管這個特別的木馬不竊取用戶信息,但我們從詐騙點擊以及比特幣挖掘模塊中獲取大量的流量。

尾聲

請確保你的系統(tǒng)打好最新的補丁,尤其下面的漏洞,因為這木馬利用他們感染你的系統(tǒng):

CVE-2006-0003

CVE-2008-2992

CVE-2009-0927

CVE-2009-1671

CVE-2009-1672

CVE-2009-4324

CVE-2010-1885

百科:Zero Access Rootkit、木馬

Zero Access Rootkit,它也被叫做惡意軟件Smiscar或Max++ rootkit,Crimeware。它在世界范圍內(nèi)已經(jīng)影響到數(shù)百萬臺計算機(jī),它是造成網(wǎng)絡(luò)點擊詐騙方式的罪魁禍?zhǔn)字弧R坏┠抉R進(jìn)入用戶系統(tǒng)中,他就 開始下載各種不同類型的病毒。

該木馬主要是通過垃圾郵件以及利用工具進(jìn)行傳播,同時它也能夠通過P2P分布式文件共享服務(wù)進(jìn)行傳播。這個木馬的獨特之處在于,其連接到一個P2P僵尸網(wǎng)絡(luò)鏈之中,這使得拆除整個僵尸網(wǎng)絡(luò)難度增高。

Zero Access使用先進(jìn)的隱身機(jī)制,在幾種殺毒軟件下它有能力隱藏自身躲避被查殺的命運,并且它依附于系統(tǒng)文件中所以很難查明。目前還沒有證據(jù)表明它會泄漏用戶數(shù)據(jù)。通??蓤?zhí)行文件會駐留在%TEMP%目錄。

Zero Access一旦進(jìn)入系統(tǒng)便可執(zhí)行各種各樣的命令,包括:

1.使用受感染的電腦進(jìn)行點擊欺詐和比特幣挖掘

2.下載其他類型的病毒對系統(tǒng)進(jìn)行感染

3.依附在系統(tǒng)中,隱藏自己不被查殺

4.提取受害者信息,包括名稱、主機(jī)名、計算機(jī)名稱、賬戶名稱等等

 

 

上一篇:破解PPTP加密類型的VPN

下一篇:谷歌正為Gmail開發(fā)PGP端到端加密技術(shù)