腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

申博_新闻事件 申博 76次浏览 已收录 0个评论

概述

腾讯平安御见要挟感知体系聚类出T-F-278915歹意家属,经剖析该家属样本会盗取多种假造钱银、盗取多国(包含中文、日文、希腊语)银行账户登录凭据,删除用户的浏览器信息,并应用用户电脑举行IQ假造钱银挖矿等行动。

该木马感染后监测到用户举行网银、付出相干的操纵时,会复制剪贴板信息、截屏、举行键盘纪录,将中毒电脑隐私信息上传,经由历程建立使命设计、增加启动项完成开机自动加载,病毒在做这些操纵时,趁便应用中毒机械的算力挖矿。

现在该网银悍贼木马在国内已散在涌现,其流传渠道重要依托垂纶敲诈类邮件。腾讯平安专家提示用户警惕点击来历不明的邮件附件及邮件供应的网址。

详细剖析

1、 原始样本运用C#编写,个中的Class1类解密出PE文件实行。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

2、 解密出的PE文件也是运用C#编写,个中含有4个cs文件,离别完成差别功用。

VBPUCYYSDHPPQQEXNZXF.cs:  完成注入、历程镜像替代功用。

kl.cs:  纪录用户按键操纵,保留到当地文件

OK.cs:  保留样本运用症结数据、数据转换、盗取用户电脑信息、与C2通讯

A.cs:   完成样本拷贝、开机启动、提权、建立设计使命、纪录感兴趣历程的粘贴板内容、截图、完毕历程相干历程、删除用户浏览器数据、挪用其他3个模块功用。

VBPUCYYSDHPPQQEXNZXF.cs模块重要完成注入。

详细注入历程:把Framework目次下的RegSvcs.exe、aspnet_compiler.exe、RegAsm.exe、InstallUtil.exe拷贝到样本地点目次,从http://paste.ee/r/Jcre9、http://paste.ee/r/jeDt4、http://pastebin.com/raw/XMKKNkb0处下载经由base64加密的代码,这几处网址虽然已失效,但从个中一处给出的参数”–neoscrypt -g 1 -I 8 -o stratum+tcp://hub.miningpoolhub.com:20510 -O pastet3i905hmi.workergpu:password”推断是IQ假造钱银挖矿,代码以下:

kl.cs模块纪录用户按键操纵,保留到当地文件,代码以下:

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

A. cs模块寄存main函数,按main函数中代码递次叙说详细行动。

建立互斥量”5cd8f17f4086744065eb0992a09e05a2″;

把本身拷贝到C:\Users\Administrator\AppData\Local\_foldernamelocalappdata_\目次下,文件尾部追加guid;

base64解密出配置文件;

设置CurrentUser下的Run、RunOnce键开机启动,以下图:

遍历历程,查找主窗口标题栏含有以下字符串(个中包含希腊语、中文、日语语种,还包含多种假造钱银、多国银行等症结字)

credit card,tor browser,Adanced Cash,socks5,order complete,nixmoney,investing,free credit score,payment gateway,order summary,confirm id,confirm your id,payment confirm,confirm payment,deepweb,order status,remote desktop,mutual funds,paysafecard,credit rating,credit report,online trading,delivery status,qiwi,cryptocurrency exchange,moneypolo,online investing,registrar,e-pin,payroll service,checkout,add money,proof of id,ebay,banking services,paytm,payment,credit union,pay,banque,e-cheque,transaction,personal banking,domain services,id scan,webmoney,proof of address,e-wallet,moodle,trade bitcoin,prepaid,payment complete,dwolla,ftp://,identity scan,invoice,banking,internet bank,forgot password,carding,e-kzt,credit check,about tor,filezilla,shopping cart,ssh login,sell bitcoin,银行D,university,solidtrust pay,ftp details,neteller,domain name registration,add to balance,add funds,buy bitcoin,securecode,payment method,liqpay,paxum,web hosting services,hosting details,comdirect,unistream,okpay,epayments.com,merchant account,money voucher,payeer,college,domain management,paypal,completed pay,perfect money,domain name services,order details,ria money transfer,alipay,logmein,e-voucher,telephone banking,z-payment,visa qiwi,savings account,ewallet,τ¨®ρ?άπDε?ζ?α¨¢,photo id,admin panel,paymer,バ¤Dン¤¨®ク¤¡¥,chequing account,bill payment,yandex,money,cpanel,skrill,payza,idram,moneygram,pay stub,dark web,teamviewer,online banking,business banking,amazon workspace,bank of,putty,western union,deposit funds,internet banking,banco,account details,paysera,bank account,payment sent,bank,ssh session,payment succe,capitalist:,digital currency,investments,epese,deep web,epay global payment,epay.com,verified by visa,3d secure,debit card,verify,verification,card balance,account balance,hacked,carding,american express,imps transfer,bank transfer,cash deposit,moneypak,gofundme,crowdfunding,cashout,check balance,topup,top-up,recharge,top up,refill card,e-commerce,purchase tokens,available balance,payment info,jabber,icq,blockchain,coinbase,coinmama,localbitcoins,bitpay,digital signature,walmart,routing number,transit number

的历程,纪录此时的粘贴板内容,保留在

C:\Users\Administrator\AppData\Local\Administrator.jpeg中;

同目次下保留此时截图。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

删除用户浏览器数据。

首款特务软件潜入Google Play

近日,ESET研究人员在Google Play中发现了首款基于AhMyth的间谍软件。这款恶意软件名为Radio Balouch,又名RB Music,是一款为Balouchi音乐爱好者提供流媒体广播的应用程序,不过它也有一个致命的缺陷——窃取用户的个人数据。这款应用曾两次潜入安卓官方应用商店,但在我们通知谷歌后,谷歌就迅速将其删除了。 AhMyth是一种开源Android RAT工具,于2017年底公开发布。从那时起,便有

RunOnce键开机启动。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

注入aspnet_compiler.exe、InstallUtil.exe历程。

闭幕监控历程。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

隐蔽样本。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

(以下行动不属于计时器功用)

设置当前历程平安描述符。

网络计算机信息,和C2通讯;实行长途代码:

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

挪用kl对象,看管用户键盘操纵。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

 

设置当前历程为critical process历程,在历程退出时触发BSOD致使体系重新启动。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

末了一个for轮回,处置惩罚Windows行列中的音讯、清算历程内存、向C2发送数据。

腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安

平安发起

1、发起实时为体系和应用软件装置补丁,封闭不必要的端口和效劳;

2、不打开来历不明的邮件附件及邮件中的可疑链接;

3、可尝试手动清算

删除C:\Users\Administrator\AppData\Local”+\_foldernamelocalappdata_\文件件夹

删除注册表

CurrentUser\Microsoft\\Windows\\CurrentVersion\\RunOnce

CurrentUser\Microsoft\\Windows\\CurrentVersion\\Run

CurrentUser\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

项中含有字符串_foldernamelocalappdata_de 键值

原文地点: https://www.4hou.com/mobile/19975.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明腾讯平安要挟感知体系截获网银悍贼木马,提示网友注重生疏邮件平安
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址