长生界辰东小说,怎么写网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

解密新晉信息竊取木馬Spymel

近日，ThreatLabZ安全研究團隊發(fā)現(xiàn)了一種新的木馬家族——Spymel，該木馬旨在竊取信息，且通過使用合法的數(shù)字證書逃避檢測。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站制作、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的尼河口網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

木馬簡介

感染周期開始于一個惡意的JavaScript文件，該文件被隱藏在電子郵件附件的ZIP壓縮文件中。一旦用戶打開該JavaScript文件，惡意軟件的可執(zhí)行安裝包就會自動下載并在目標(biāo)機器上安裝。

研究發(fā)現(xiàn)，該JavaScript文件并沒有使用混淆算法，可以輕易地發(fā)現(xiàn)其中的惡意鏈接，Spymel木馬的可執(zhí)行安裝包就是通過該硬編碼的鏈接從遠程下載的，如圖一。

圖一硬編碼的URL的屏幕截圖

分析過程

已下載的可執(zhí)行安裝包是高度混淆的.NET二進制文件，并且使用頒發(fā)給SBO INVEST的證書簽名，而發(fā)現(xiàn)該問題后，收到通知的DigiCert就立即撤銷了該證書。但是兩周后，出現(xiàn)了新變種，該變種使用了SBO INVEST的另一個已撤銷的證書。

圖二 Spymel使用的證書

Spymel的有效載荷散列值：

4E86F05B4F533DD216540A98591FFAC2

2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平臺上以“svchost.exe”或“Startup32.1.exe”形式存在：

WinXP

%Application Data%\ProgramFiles(32.1)\svchost.exe

%User%\Start Menu\Programs\Startup\Startup32.1.exe

Win7

%AppData%\Roaming\ProgramFiles(32.1)\svchost.exe

%AppData%\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Startup32.1.exe

Spymel安裝后會創(chuàng)建以下注冊表，以保證其可以持續(xù)感染：

WinXP

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run @ Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run @ Sidebar(32.1)

Win7

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run Sidebar(32.1)

Spymel的配置數(shù)據(jù)包括Command & Control服務(wù)器和File & Registry信息，這些信息都硬編碼在可執(zhí)行安裝包中，如圖三：

圖三 Spymel的配置數(shù)據(jù)

分析發(fā)現(xiàn)，該安裝包中存在以下模塊：

1、Keylogging模塊

該模塊將用戶的鍵盤信息記錄在日志文件中(位置：%Application Data%\ProgramFiles(32.1)\svchost.exe.tmp)。圖四為該模塊對應(yīng)的類“kyl”：

圖四 Keylogging代碼

2、ProtectMe模塊

該模塊防止中斷用戶終止惡意軟件，它禁用了確認提示中的“OK”按鈕。進而Taskkill命令不會如預(yù)期一樣正常工作。圖五為該模塊對應(yīng)的類“ProtectMe”：

圖五 ProtectMe代碼

信息竊取

該惡意軟件可以像Task Manager一樣監(jiān)控應(yīng)用程序，它使用GetForegroundWindow() API獲取活動窗口的句柄，并更改其功能。

Spymel使用1216端口連接遠程域android.sh(213.136.92.111)，一旦連接成功，它就開始發(fā)送活動進程窗口的信息。下表為Command & Control服務(wù)器發(fā)送給該惡意軟件的命令：

惡意軟件發(fā)送的文件內(nèi)容使用base64編碼進行加密，圖六為記錄瀏覽器播放視頻的代碼：

圖六記錄瀏覽器播放視頻的代碼

總結(jié)

目前，使用數(shù)字證書偽裝惡意軟件成為一種通用方法，Spymel是其中一例。攻擊者借助社會工程學(xué)向目標(biāo)發(fā)送電子郵件，導(dǎo)致感染，進一步竊取敏感信息，Spymel便會監(jiān)控用戶行為并轉(zhuǎn)發(fā)給攻擊者。對于普通終端用戶而言，慎點郵件中的鏈接是保護自己免受Spymel木馬危害的最好方式，畢竟，它使用的鏈接是很好識別的。

當(dāng)前文章：解密新晉信息竊取木馬Spymel
網(wǎng)頁URL：http://fisionsoft.com.cn/article/ccdgdgo.html

新聞中心

其他資訊