电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

申博_新闻事件 申博 279次浏览 已收录 0个评论

一、概述

在2018年12月份,毒霸平安团队对外表露了重要举行“流量暗刷与挟制”进击的僵尸网络”驱魔”家属(申报链接),该家属从2017年最先逐渐走向活泼,经由过程频仍变更地痞宿主外壳举行流传,预估全网沾染用户凌驾500万,成为最近几年国内活泼僵尸网络中的佼佼者,其云控功用日渐壮大,仅今后活泼推送的功用插件就已凌驾70余款。

从最近对毒霸“抓风”系统的监控数据来看,我们揭露了“驱魔人”的家庭成员。在未来,“驱魔人”背后的团队并没有停止传播和重复该病毒的功能。近日,我们再次对其“电商暗刷模块”的更新品种进行了监控。新版除原有的“淘宝天猫暗刷”外,还新增了隐私窃取功能,可及时监控网络用户在电脑微信号、QQ号、浏览器历史及未来操纵窗口信息等个人隐私。虽然还不知道如何将这些隐私数据最终会在黑,但我们认为病毒作者web浏览器记录接触用户的姿势,能够用于标签在用户的习惯,网络操作,一个定制的忏悔和网络营销推广运动,这样可以打包出售给第三方黑团伙,生产在特定用户组精密立式纶再次作弊,等等。

到场隐私盗取功用的新版”天猫淘宝暗刷”插件,运转流程以下:电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

二、溯源剖析

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜我们对上图中用于网络用户隐私的“ImgViewer.dll”举行剖析时,不测发明其文件版本信息标注为小翼看图主程序”,版权信息为China Telecom(中国电信)” ,经由过程内部溯源体系搜刮婚配,我们发明”中国电信”旗下多款软件和隐私网络模块ImgViewer.dll”的代码类似度极高,数据上报的字段花样也完全一致,但经由过程病毒C&C服务器等其他方面的联系关系,暂未发明和中国电信存在直接关系,以是我们疑心该病毒模块的作者经由过程某种渠道(好比”曾就任”),掌握有中国电信旗下局部客户端/服务端源码,并加以革新用于制造盗取用户隐私的病毒,另外在该病毒模块的代码中,我们还发明”百度”旗下局部客户端的基本调试日记函数库代码陈迹,悉数”驱魔”病毒家属疑点重重,其制造流传配景愈发虚无缥缈。

以下经由过程”中国电信”旗下的”桌面3D动态天色”和”百度”旗下的”百度杀毒”举行对照,相干文件信息以下:电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

对照结论以下:

①   隐私网络模块“ImgViewer.dll”的数据上报代码逻辑和电信”桌面3D动态天色”模块高度类似:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

②   隐私网络模块“ImgViewer.dll”盘算装备GUID的算法和电信“桌面3D动态天色”模块一致,而且生存途径均为“ \ProgramData\ChinaTelecom\Common\Global.db“,实行流程图对照以下:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

③   隐私网络模块“ImgViewer.dll”、电信“桌面3D动态天色”模块和百度杀毒Web平安组件“WebSafePlugin.dll”,均包罗雷同的日记库函数代码(下图从左往右依次是病毒模块、中国电信、百度杀毒的文件):

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

三、样本剖析

新版插件原有的“天猫淘宝暗刷”功用不再赘述,概况可见我们之前表露的申报《揭秘“驱魔”家属:全国最大的暗刷僵尸网络上线了》。此处我们重点对新到场的隐私网络模块“ImgViewer.dll”举行剖析,该模块文件直接嵌入在插件的全局变量中,经由过程新建线程举行反射加载载入内存运转。

该DLL文件中包罗3个导出函数,个中重要运用的有两个,一个是EnableData函数,它的作用为掌握符号数据上报开关,以决议后续是不是上传数据。另一个则是DllEntryPoint函数,重要卖力建立一个线程,用来网络QQ号、微旌旗灯号、窗口称号和浏览器历史纪录。

病毒网络QQ号和微旌旗灯号的体式格局可谓非常简朴,经由过程读取软件默许的装置途径下(%APPDATA%\Tencent\QQ\Misc和%TEMP%\WeChat Files)的文件名,便可取得对应的QQ号和微旌旗灯号:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

若是检测到电脑上装置了以下的浏览器,则会对运用者的上网纪录举行全方位的纪录,被盗取纪录的浏览器以下:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

一旦找到对应的浏览器,病毒则会直接定位到响应浏览器的历史纪录文件夹,应用ReadDirectoryChangesW监控目次状况是不是发作转变,若转变则读取响应历史纪录文件的数据,而浏览器的历史纪录文件,一般都是一个SQLite花样的数据库,没有特别加密,以是只需要经由过程响应的SQL语句,便可取得接见的网址信息,下图则为读取的历史纪录信息:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

终究,网络完上述的信息后,病毒会依照肯定的花样,将数据上传到http://dama57.com/query.php页面,局部相干字段的申明以下:

GUID:电脑标识

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

CK:用于辨别上报范例,400为上报微旌旗灯号、QQ号、今后翻开窗口;410为上报今后接见的网址

d0:QQ号

d1:微旌旗灯号或许窗口称号

d2:网址URL或许窗口称号

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

该域名的持有者为“泰安大周网络科技有限公司”,相干立案信息以下:

电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜

至此,信息的网络上报悉数完成,而相干的信息网络线程则是一向轮回实行,只要不完毕历程,则电脑上的相干信息会一向上传。

四、IOC

“驱魔”家属数字签名:

合肥臻璞网络科技有限公司

深圳市史宾赛科技有限公司

深圳市盛豪霆科技有限公司

深圳市云舒三黑科技有限公司

北京博奥路通科技有限公

北京众耀科技有限公司

深圳市博游世界科技有限公司

广西同城网络科技有限责任公司

武汉乐港网络科技有限公司

ShanghaiManjia Network Technology Co. Ltd.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明电信、百度客户端源码疑遭走漏,驱魔家属盗取隐私再起波澜
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址