日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

InfoStealer是一種木馬，功能為收集受害計(jì)算機(jī)系統(tǒng)用戶的敏感信息，并將其轉(zhuǎn)發(fā)到一個(gè)預(yù)定的位置，而搜集的信息包含財(cái)務(wù)信息，登錄憑據(jù)，密碼或者都有，這些信息可能被出售在黑市上。AVAST將其命名為MSIL:Agent-AKP。

創(chuàng)新互聯(lián)從2013年創(chuàng)立，先為平鄉(xiāng)等服務(wù)建站，平鄉(xiāng)等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為平鄉(xiāng)企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

下面，我們就來(lái)看看一個(gè)通過(guò)exploit kit(全自動(dòng)攻擊工具)部署在受害者電腦上的惡意.NET文件。用反編譯器打開該文件后，發(fā)現(xiàn)資源中只包含如下干擾圖片：

以位圖方式打開圖片，一個(gè)像素一個(gè)像素的處理。對(duì)于每個(gè)像素，它并不是非黑即白(ARGB不等于0×00000000),3種顏色提取并保存在一個(gè)列表中，一個(gè)值接著一個(gè)值，一列接著一列。

當(dāng)我們提取出整張列表后，得到如下的結(jié)果。注意MZ標(biāo)識(shí)，正是可執(zhí)行文件的開頭：

很明顯，我們正在對(duì)付一個(gè)obfuscator(混淆器)，它從位圖中轉(zhuǎn)換數(shù)據(jù)，構(gòu)造可執(zhí)行文件。

單單的查看這個(gè)位圖文件，并不能立即意識(shí)到它還存儲(chǔ)著可執(zhí)行文件。對(duì)照BITMAPINFOHEADER和它的bitHeight項(xiàng)，我們可以看到它的值是0X134。

根據(jù)文檔，如果biHeight是正值，相應(yīng)的位圖就是自底而上的DIB(與設(shè)備無(wú)關(guān)的位圖)，它的起始點(diǎn)在較低的靠左的位置。

下圖展示了這個(gè)可執(zhí)行文件的前9個(gè)字符是如何隱藏在位圖中的。一個(gè)像素包含3個(gè)字符，隨后的下一列是下一組3字符(自底而上)。我們發(fā)現(xiàn)紅色標(biāo)識(shí)的字符正是可執(zhí)行文件的MZ特征：4D5A90 000300 000004。

仔細(xì)觀察Payload

Payload從位圖中被提取出來(lái)，原始文件有兩個(gè)位圖，其中一個(gè)解析后是用.NET寫的加載器，裝載進(jìn)內(nèi)存并執(zhí)行第二個(gè)二進(jìn)制文件。第一個(gè)二進(jìn)制文件通過(guò)修改zone.identifier 來(lái)修改數(shù)據(jù)流。

硬盤上的任何文件都或有無(wú)被賦予了 :zone:identifier的數(shù)據(jù)流，它包含了這個(gè)原始文件的zone信息。如果文件來(lái)自Internet，它的zone值是3;如果來(lái)自本地，zone值就是0。

這里的惡意文件試圖將zone值設(shè)為2，表明是URLZONE_TRUSTED。

這個(gè)區(qū)域的存在是由于安全原因考慮。某些程序/操作系統(tǒng)可能會(huì)報(bào)告與此類文件有關(guān)的安全信息。

第二個(gè)匯編碼是從第二個(gè)位圖源文件中提取的。它通過(guò)創(chuàng)建Win7zip注冊(cè)表Uuid值來(lái)生成。

通過(guò)創(chuàng)建[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，運(yùn)行之后將禁用幾個(gè)安全方案，將調(diào)試器的值設(shè)置成一個(gè)不存在的exe文件路徑，每當(dāng)用戶試圖使用受影響的程序時(shí)，Windows將運(yùn)行“調(diào)試”出來(lái)的值來(lái)代替原本的值，這樣就可以成功的禁用此類程序。下圖顯示了通過(guò)修改此注冊(cè)表項(xiàng)禁用的程序的列表。

同樣利用修改注冊(cè)表項(xiàng)禁用安全組件：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]。將HideSCAHealth的值設(shè)置成1來(lái)禁用Action Center。Notification balloons的禁用可以通過(guò)修改TaskbarNoNotification的注冊(cè)表項(xiàng)來(lái)達(dá)成。

在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup]，修改DisableMonitoring注冊(cè)表項(xiàng)，可以禁用Windows備份通知。

通過(guò)對(duì)注冊(cè)表項(xiàng)2500鍵值進(jìn)行設(shè)置，設(shè)置為3-禁用，就可以關(guān)閉Internet Explorer的保護(hù)模式。

如果發(fā)現(xiàn)裝有如下的FTP軟件，就會(huì)竊取它們的認(rèn)證日志：

FileZilla

SmartFTP

CoreFTP

FlashFXP

WinSCP

FTP Commander

可以在它的body中看到下列字符：

FileZilla\sitemanager.xml

SmartFTP\Client 2.0\Favorites

SmartFTP

Software\FTPWare\CoreFTP\Sites

FlashFXP

Sites.dat

Quick.dat

Software\Martin Prikryl\WinSCP 2\Sessions

%s\FTP Commander

%s\FTP Commander Deluxe

Ftplist.txt

它同樣可以修改注冊(cè)表項(xiàng)：

注冊(cè)表項(xiàng)[HKEY_LOCAL_MACHINE\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer]的種類是REG_DWORD，設(shè)置成0的意思就是禁用JAVA;設(shè)置成1的意思就是啟用JAVA。

注冊(cè)表項(xiàng) [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\{version}\Privileged\bProtectedMode]的種類是REG_DWORD，設(shè)置成0就是禁用;設(shè)置成1就是啟用。

(木馬)作者力求保留將來(lái)再次感染該系統(tǒng)的可能。一旦用戶再次登錄exploit kit，感染將再次發(fā)生。

InfoStealer同時(shí)也向作者報(bào)告被入侵電腦上安裝的一些軟件，通過(guò)判斷是否存在如下的文件、目錄或者注冊(cè)表鍵值：

Software\Valve\Steam

jagexcache

SOFTWARE\Blizzard Entertainment

.minecraft

League of Legends

Software\Skype

例如，“jagexcache”的出現(xiàn)表明在線游戲RuneScape,“.minecraft”表明Minecraft,注冊(cè)表鍵值“SOFTWARE\\Blizzard Entertainment”或者“Software\Valve\Steam”告訴我們或許機(jī)器上安裝著這來(lái)自這些游戲廠商的游戲?！癓eague of legends”和”Software\Skype”這些字符不言自明。

InfoStealer禁用了一些系統(tǒng)服務(wù)。Wuauserv就是“Windows Update service”,wscsvc就是“Security Center”，mpssvc就是“Windows Firewall”，BITS是“Background Intelligent Transfer Service”。

它也擁有“洪水”攻擊目標(biāo)服務(wù)器的能力。

當(dāng)我們?cè)噲D搜尋上面提及的命令時(shí)，我們發(fā)現(xiàn)了一個(gè)地下論壇，如下描述：

通過(guò)向[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下添加“AudioDriver32”值，就能達(dá)到永遠(yuǎn)存在的效果，即使機(jī)器重啟。

InfoStealer木馬通過(guò)展示如下的錯(cuò)誤信息提示窗的聰明方式來(lái)迷惑用戶，使其可以提升權(quán)限運(yùn)行。

無(wú)論點(diǎn)“Restore files”還是“Restore files and check disk for errors”后，都執(zhí)行下面的代碼。

InfoStealer使用ShellExecute函數(shù)執(zhí)行自身。要注意“runas”命令，試圖以提升的權(quán)限運(yùn)行程序。如果一個(gè)用戶被提示UAC(用戶訪問(wèn)控制)，他很可能會(huì)允許該程序運(yùn)行，因?yàn)樗枰皉estore his corrupted document files”。

如果用戶點(diǎn)擊了“More details about this error”， 如下的頁(yè)面將會(huì)打開。它是正常的微軟社區(qū)頁(yè)面，用戶在此提問(wèn)、答復(fù)相關(guān)問(wèn)題。

這里的問(wèn)題正是與“Corrupted Documents Folder”相關(guān)的，與展現(xiàn)給受害用戶的出錯(cuò)信息窗口相關(guān)。

InfoStealer掃描所有正在運(yùn)行的進(jìn)程以及它們的啟動(dòng)命令行參數(shù)。這些命令行會(huì)被解析，如果匹配如下的模式，它們還會(huì)被報(bào)告給(木馬)作者。這些模式代表著比特幣挖掘的進(jìn)行。如果cgminer在入侵電腦上運(yùn)行，將會(huì)被報(bào)告。

所有獲取的數(shù)據(jù)存放在[HKCU\Software\Classes\CLSID\{GUID}]注冊(cè)表鍵值中，這些信息稍后會(huì)被發(fā)送給攻擊者。

總結(jié)

上面所展現(xiàn)的惡意軟件試圖竊取多種程序的認(rèn)證信息，或者至少報(bào)告它們的存在。通過(guò)修改多處系統(tǒng)注冊(cè)表值來(lái)禁止安全軟件或者action center的通知服務(wù)的運(yùn)行，且該信息竊取者針對(duì)的對(duì)象為終端用戶。

SHAs：6ABA3F3DE5BBB513C073066473E39349E0E68403DBDB3E55E444FFF6632274D4

本文來(lái)自Avast博客JAROMIR HOREJSI的文章《Your documents are corrupted: From image to an information stealing trojan》。

新聞標(biāo)題：暗渡陳倉(cāng)：披著圖片外衣的特洛伊木馬
鏈接地址：http://m.5511xx.com/article/dpscccs.html