-
-
“双十二猎手”木马来袭 专偷网购资金
-
发表于: 2013-12-12 16:36 618
-
12月12日消息,360安全卫士微博发布木马警报称,一类专门瞄准“双十二”网购消费者的木马活跃度迅速增加。此木马属于网购木马家族的一个分支,从今年6月份开始已经变种多次。最新的“双十二猎手”变种尤其凶悍,其特点包括:
一、利用nmake工作执行脚本,导入注册表键,实现开机自启动;
二、利用命令行版XueTr(一款手工杀毒工具),加载驱动破坏杀毒软件,感染WgaTray.exe做开机启动项;
三、该木马安装程序还带有运行时间判断,过了2013年12月12日,安装程序将不再安装木马;
四、全面打劫各大电商网站的交易和网银支付,把支付资金劫持到第三方平台购买游戏点卡或转账。
360安全卫士和360杀毒具备对木马利用nmake的拦截能力,可以将“双十二猎手”木马消灭在萌芽状态。而其他一些杀毒软件,经测试会被“双十二猎手”强制破坏,无法启动。
如果网友发现自己使用的杀毒软件无故退出、无法启动,这是“双十二猎手”的恶意驱动已经控制了系统,建议下载使用360系统急救箱http://www.360.cn/jijiuxiang/index.html,查杀木马后即可恢复正常。
“双十二猎手”木马技术分析
几个传播量最大的木马样本:
木马启动后,释放一组文件到“C:\Program Files\淘宝实物图”目录下,并在桌面新建“淘宝实拍图”的快捷方式,这个快捷方式指向的是微软的nmake文件。
nmake文件,本身会去执行makefile文件中的脚本,本来是要做一些编译调度的工作。木马精心构造了一个makefile文件,用来安装木马程序。这种方法,是今年比较流行的新白利用(也称为“白加黑”)手法。
通过nmake导入的一个注册表文件,文件是Sysinternals的PsExec工具的授权项,木马安装程序准备利用PsExec工具来写注册表,所以先导入了它的授权:
木马的安装脚本中判断了当前的系统时间,如果过了2013年12月12号,木马将直接退出,不进行安装。
将木马的引导器写入启动项,同时替换系统的wgatray文件。
被木马替换的wgatray程序,这个程序是微软用来进行正版验证的,网上有很多通过修改这个文件破解微软操作系统的程序。这个程序被感染之后,如果杀软无法修改,将造成木马杀而不死的情况。
木马已经被写入了启动项,初步完成安装,重启计算机:
重启之后,双十二猎手木马开始屠杀了,利用命令行版本的XueTr,删除杀软的文件:
被利用的命令行版XueTr:
之后加载驱动,结束杀软进程,木马开始了其真正的工作——网购盗窃。
小伙伴们,双十一是不是还没抢够的,双十二还要再买两件新衣服?木马也这么认为……
神马天猫淘宝支付宝、招行农行工建中、京东易讯财付通,统统打劫了去。
付款时订单金额被修改,实际上订单已经被转到他人买点卡了或者网银转账了:
木马的通信数据包:
里面包含实际的收款人信息:小伙伴们买东东的钱,都被无情的转给了这个人:
防御措施
早在今年6月份,360已经率先拦截了此类网购木马分支,并完善主动防御规则。“双十二猎手”变种利用nmake执行,直接被360安全卫士阻止:
但某些被木马列为攻击名单的其他杀毒软件用户就没这么幸运了。经测试,这些软件目前还不具备防御“双十二猎手”的能力。木马被执行之后,下次开机,这些软件就已经被猎杀而无法启动了。
如果用其他软件而不幸中招了,可以下载360系统急救箱来补救,能够彻底查杀木马防止网购资金被打劫。
一、利用nmake工作执行脚本,导入注册表键,实现开机自启动;
二、利用命令行版XueTr(一款手工杀毒工具),加载驱动破坏杀毒软件,感染WgaTray.exe做开机启动项;
三、该木马安装程序还带有运行时间判断,过了2013年12月12日,安装程序将不再安装木马;
四、全面打劫各大电商网站的交易和网银支付,把支付资金劫持到第三方平台购买游戏点卡或转账。
360安全卫士和360杀毒具备对木马利用nmake的拦截能力,可以将“双十二猎手”木马消灭在萌芽状态。而其他一些杀毒软件,经测试会被“双十二猎手”强制破坏,无法启动。
如果网友发现自己使用的杀毒软件无故退出、无法启动,这是“双十二猎手”的恶意驱动已经控制了系统,建议下载使用360系统急救箱http://www.360.cn/jijiuxiang/index.html,查杀木马后即可恢复正常。
“双十二猎手”木马技术分析
几个传播量最大的木马样本:
木马启动后,释放一组文件到“C:\Program Files\淘宝实物图”目录下,并在桌面新建“淘宝实拍图”的快捷方式,这个快捷方式指向的是微软的nmake文件。
nmake文件,本身会去执行makefile文件中的脚本,本来是要做一些编译调度的工作。木马精心构造了一个makefile文件,用来安装木马程序。这种方法,是今年比较流行的新白利用(也称为“白加黑”)手法。
通过nmake导入的一个注册表文件,文件是Sysinternals的PsExec工具的授权项,木马安装程序准备利用PsExec工具来写注册表,所以先导入了它的授权:
木马的安装脚本中判断了当前的系统时间,如果过了2013年12月12号,木马将直接退出,不进行安装。
将木马的引导器写入启动项,同时替换系统的wgatray文件。
被木马替换的wgatray程序,这个程序是微软用来进行正版验证的,网上有很多通过修改这个文件破解微软操作系统的程序。这个程序被感染之后,如果杀软无法修改,将造成木马杀而不死的情况。
木马已经被写入了启动项,初步完成安装,重启计算机:
重启之后,双十二猎手木马开始屠杀了,利用命令行版本的XueTr,删除杀软的文件:
被利用的命令行版XueTr:
之后加载驱动,结束杀软进程,木马开始了其真正的工作——网购盗窃。
小伙伴们,双十一是不是还没抢够的,双十二还要再买两件新衣服?木马也这么认为……
神马天猫淘宝支付宝、招行农行工建中、京东易讯财付通,统统打劫了去。
付款时订单金额被修改,实际上订单已经被转到他人买点卡了或者网银转账了:
木马的通信数据包:
里面包含实际的收款人信息:小伙伴们买东东的钱,都被无情的转给了这个人:
防御措施
早在今年6月份,360已经率先拦截了此类网购木马分支,并完善主动防御规则。“双十二猎手”变种利用nmake执行,直接被360安全卫士阻止:
但某些被木马列为攻击名单的其他杀毒软件用户就没这么幸运了。经测试,这些软件目前还不具备防御“双十二猎手”的能力。木马被执行之后,下次开机,这些软件就已经被猎杀而无法启动了。
如果用其他软件而不幸中招了,可以下载360系统急救箱来补救,能够彻底查杀木马防止网购资金被打劫。
赞赏
看原图
赞赏
雪币:
留言: