区块链火了Sality病毒,感染3万电脑乘机偷取比特币 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

申博_行业观察 申博 33次浏览 未收录 0个评论

申博官方网

申博官方网拓展了业务战线,深化了服务体系,整合了群体,在未来的2019年,将能更好地为申博官方网的会员提供更优质的服务。

,

一、背景

腾讯平安御见要挟情报中心检测到Sality感染型病毒活泼,该病毒同时流传“剪切板悍贼”木马偷取数字加密钱银。在国度大力发展区块链相干产业的大背景下,种种数字加密币的生意业务绝后活泼,以比特币为首的种种数字加密币顺势爆涨。Sality病毒应用本身竖立的P2P收集,流传以偷取、挟制假造币生意业务为目的的剪切板悍贼木马,将会对假造币生意业务平安组成严峻要挟。

Sality病毒最早于2003年被发明,最初只是一个简朴的文件感染顺序,具有后门和按键纪录功用。Sality厥后增加了组建P2P散布式收集的功用,在增强了流传速度的同时也具有了更大的损坏才能。

Sality病毒具有一个内置的URL列表,同时可以从其他受感染的P2P收集中吸收新的URL,经由过程下载,解密和实行列表中的每一个URL,Sality可以植入其他木马或许收取推行装置渠道费,Sality病毒组织的P2P收集流传其他病毒木马或以歹意推行软件赢利的战略非常天真。

当前版本的Sality感染型病毒具有以下特性:

1、损坏体系平安设置;

2、感染当地硬盘、可挪动存储装备、长途同享目录下的可实行文件;

3、应用可挪动、长途同享驱动器的自动播放功用举行感染;

4、将本身注入到其他历程中,以便可以将下载的DLL加载到目的历程;

5、建立一个对等(P2P)僵尸收集;

6、从URL列表下载并实行“剪切板悍贼”木马,经由过程剪切板内容中的字符花样推断以太币或比特币钱包地点,并将剪切板内容替代为指定钱包,若用户在此时粘贴并举行转账操纵,数字资产就会被盗。

依据腾讯平安御见要挟情报中心统计数据,此次Sality病毒进击影响凌驾3万台电脑。从区域散布来看,Sality在全国各地均有感染,最严峻区域分别为广东、江苏、河南、山东。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

从感染行业散布来看,Sality影响最严峻的依次为科技、制造业和房地产行业。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

二、详细分析

Sality感染型病毒

Sality运用外壳顺序庇护,实行后起首解密出中心代码,然后跳转到进口实行。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

建立互斥体”uxJLpe1m”以保证木马历程具有唯一实例。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

罗列和删除位于以下注册表子项中的一切条目来阻挠受感染的盘算机进入平安形式。

HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

将歹意代码指令注入到其他历程(消除属于体系,当地效劳或收集效劳的历程)中,从而许可代码将从长途效劳器下载的外部顺序加载到目的历程中,病毒运用基于每次注入历程PID定名的互斥锁来防备反复注入。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

感染当地、可挪动和长途同享驱动器上不受庇护的可实行文件。修正可实行文件的进口点,以病毒代码替代原始文件代码,使得一切被感染顺序启动时实行病毒功用。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

在当地、可挪动和长途同享驱动器根目录下建立autorun.inf,并在个中设置自动实行的文件指向拷贝到个中的病毒顺序,使得收集同享盘和可挪动盘被翻开时病毒自动运转,继承流传感染病毒。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

建立驱动顺序,文件途径C:\WINDOWS\system32\drivers\<random>.sys,标记链接为“\DosDevices\amsint32”,该驱动顺序用来阻挠对各种平安软件供应商网站的接见。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

构建基于UDP协定的P2P收集,经由过程P2P收集同享用于下载、解密和实行文件的URL列表。

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

猎取内置的下载URL列表。

罕见沙箱绕过手艺

常见沙箱绕过技术 延迟执行 有许多恶意软件都使用基于时间的绕过技术,主要是利用已知的Windows API来延迟恶意代码的执行,常用的API有NtDelayExecution, CreateWaitTableTImer, SetTimer。这些技术在沙箱识别出来之前非常流行。 GetTickCount 沙箱可以识别出恶意软件并通过加速代码执行的方式来进行应对,可以使用多种方法来进行加速检查。其中一种方法就是使用Windows API G

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

猎取计时器转换成字符,并以“?%x=%d”花样拼接在URL的末端。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

现在URL运用的活泼域名以下:

· tudorbuildersfl.com

· energy-guru.com

· acostaphoto.com

· ptcgic.com

· cikmayedekparca.com

· brucegarrod.com

· cbbasimevi.com

· brandaoematos.com.br

· caglarteknik.com

· bharatisangli.in

· cacs.org.br

· butacm.go.ro

· boyabateml.k12.tr

· casbygroup.com

· iqhouse.kiev.ua

从下载的文件中解密出PE顺序保存到%Temp%\win%s.exe。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

剪切板悍贼

感染型病毒Sality终究下载的是针对剪切板中的数字加密钱银钱包地点举行替代的木马顺序,木马启动后轮回翻开剪切板并猎取剪切板中数据。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

经由过程剪切板内容中的字符花样特性推断以太币或比特币钱包地点,并将切板内容替代为指定钱包,若用户在此时粘贴并举行转账操纵,数字资产便落入黑客的口袋。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

依据监测数据,Sality下载的偷取数字加密钱银木马每一个月替换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计偷取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。 

区块链火了Sality病毒,感染3万电脑乘机偷取比特币

三、平安发起

个人用户应防备从风险网站下载高风险软件,如游戏外挂、破解东西、盗版软件等。封闭U盘的自动播放功用,防备感染型病毒经由过程U盘流传。

企业用户应增强内网同享文件的治理,可经由过程设置企业平安战略来下降风险。详细防范措施以下:

1、禁用自动播放以防备自动启动收集和可挪动驱动器上的可实行文件,并在不须要时断开驱动器的衔接。假如不须要写接见权限,在可用选项下启用只读形式。

2、假如不须要运用文件同享,则用户应封闭文件同享。假如须要文件同享,则用户应运用ACL和暗码庇护来限定接见。

3、确保盘算机的顺序和用户运用完成任务所需的最低权限。当提醒输入root或UAC暗码时,需确保请求治理级接见的顺序是正当应用顺序;

4、采纳高强度的暗码,防备运用弱口令暗码,并按期替换暗码。发起效劳器暗码运用高强度且无规律暗码,而且强迫请求每一个效劳器运用差别暗码治理;

5、实时装置体系补丁,尤其是在承载大众效劳且可经由过程防火墙接见的盘算机上,比方HTTP,FTP,邮件和DNS效劳;

参考链接:https://www.symantec.com/security-center/writeup/2006-011714-3948-99


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明区块链火了Sality病毒,感染3万电脑乘机偷取比特币
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址