国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　InfoStealer是一種木馬，功能為匯集受害計較機系統(tǒng)用戶的敏感信息，并將其轉(zhuǎn)發(fā)到一個預定的位置，而匯集的信息包含財務信息，登錄根據(jù)，暗碼或都有，這些信息可能被出售在暗盤上。AVAST將其定名為MSIL:Agent-AKP。

　　下面，我們就來看看一個經(jīng)由過程exploit kit(全主動報復打擊東西)擺設在受害者電腦上的歹意.NET文件。用反編譯器打開該文件后，發(fā)現(xiàn)資本中只包含以下干擾圖片：

　　以位圖編制打開圖片，一個像素一個像素的措置。對每個像素，它其實不長短黑即白(ARGB不便是0×00000000),3種色彩提取并保留在一個列表中，一個值接著一個值，一列接著一列。

　　當我們提掏出整張列表后，獲得以下的成果。寄望MZ標識，恰是可履行文件的開首：

　　很較著，我們正在對一個obfuscator(混合器)，它從位圖中轉(zhuǎn)換數(shù)據(jù)，機關可履行文件。

　　單單的查看這個位圖文件，其實不克不及當即意想到它還存儲著可履行文件。對比BITMAPINFOHEADER和它的bitHeight項，我們可以看到它的值是0X134。

　　按照文檔，假定biHeight是正值，響應的位圖就是自底而上的DIB(與設備無關的位圖)，它的肇端點在較低的靠左的位置。

　　下圖揭示了這個可履行文件的前9個字符是若何隱躲在位圖中的。一個像素包含3個字符，隨后的下一列是下一組3字符(自底而上)。我們發(fā)現(xiàn)紅色標識的字符恰是可履行文件的MZ特點：4D5A90 000300 000004。

　　細心不雅察Payload

　　Payload從位圖中被提掏出來，原始文件有兩個位圖，此中一個解析后是用.NET寫的加載器，裝載進內(nèi)存并履行第二個二進制文件。第一個二進制文件經(jīng)由過程點竄zone.identifier 來點竄數(shù)據(jù)流。

　　硬盤上的任何文件都或有沒有被付與了:zone:identifier的數(shù)據(jù)流，它包含了這個原始文件的zone信息。假定文件來自Internet，它的zone值是3;假定來自本地，zone值就是0。

　　這里的歹意文件試圖將zone值設為2，表白是URLZONE_TRUSTED。

　　這個區(qū)域的存在是因為安然啟事考慮。某些法度/把持系統(tǒng)可能會陳述與此類文件有關的安然信息。

　　第二個匯編碼是從第二個位圖源文件中提取的。它經(jīng)由過程成立Win7zip注冊表Uuid值來生成。

　　經(jīng)由過程成立[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，運行以后將禁用幾個安然方案，將調(diào)試器的值設置成一個不存在的exe文件路徑，每當用戶試牟利用受影響的法度時，Windows將運行“調(diào)試”出來的值來代替本來的值，如許便可以成功的禁用此類法度。下圖顯示了經(jīng)由過程點竄此注冊表項禁用的法度的列表。

　　一樣操縱點竄注冊表項禁用安然組件：

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]。將HideSCAHealth的值設置成1來禁用Action Center。Notification balloons的禁用可以經(jīng)由過程點竄TaskbarNoNotification的注冊表項來達成。

　　在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup]，點竄DisableMonitoring注冊表項，可以禁用Windows備份通知。

　　經(jīng)由過程對注冊表項2500鍵值進行設置，設置為3-禁用，便可以封鎖Internet Explorer的呵護模式。

　　假定發(fā)現(xiàn)裝有以下的FTP軟件，就會盜取它們的認證日記：

　　FileZilla

　　SmartFTP

　　CoreFTP

　　FlashFXP

　　WinSCP

　　FTP Commander

　　可以在它的body中看到以下字符：

　　FileZilla\sitemanager.xml

　　SmartFTP\Client 2.0\Favorites

　　SmartFTP

　　Software\FTPWare\CoreFTP\Sites

　　FlashFXP

　　Sites.dat

　　Quick.dat

　　Software\Martin Prikryl\WinSCP 2\Sessions

　　%s\FTP Commander

　　%s\FTP Commander Deluxe

　　Ftplist.txt

　　它一樣可以點竄注冊表項：

　　注冊表項[HKEY_LOCAL_MACHINE\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer]的種類是REG_DWORD，設置成0的意思就是禁用JAVA;設置成1的意思就是啟用JAVA。

　　注冊表項 [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\{version}\Privileged\bProtectedMode]的種類是REG_DWORD，設置成0就是禁用;設置成1就是啟用。

　　(木馬)作者力求保留將來再次傳染該系統(tǒng)的可能。一旦用戶再次登錄exploit kit，傳染將再次產(chǎn)生。

　　InfoStealer同時也向作者陳述被進侵電腦上安裝的一些軟件，經(jīng)由過程鑒定是不是存在以下的文件、目次或注冊表鍵值：

　　Software\Valve\Steam

　　jagexcache

　　SOFTWARE\Blizzard Entertainment

　　.minecraft

　　League of Legends

　　Software\Skype

　　例如，“jagexcache”的呈現(xiàn)表白在線游戲RuneScape,“.minecraft”表白Minecraft,注冊表鍵值“SOFTWARE\\Blizzard Entertainment”或“Software\Valve\Steam”奉告我們或許機械上安裝著這來自這些游戲廠商的游戲?！癓eague of legends”和”Software\Skype”這些字符不言自明。

　　InfoStealer禁用了一些系統(tǒng)辦事。Wuauserv就是“Windows Update service”,wscsvc就是“Security Center”，mpssvc就是“Windows Firewall”，BITS是“Background Intelligent Transfer Service”。

　　它也具有“洪水”報復打擊方針辦事器的能力。

　　當我們試圖搜索上面說起的號令時，我們發(fā)現(xiàn)了一個地下論壇，以下描述：

　　經(jīng)由過程向[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下添加“AudioDriver32”值，就可以達到永久存在的結(jié)果，即便機械重啟。

　　InfoStealer木馬經(jīng)由過程揭示以下的弊端信息提示窗的智慧編制來利誘用戶，使其可以晉升權限運行。

　　不管點“Restore files”仍是“Restore files and check disk for errors”后，都履行下面的代碼。

　　InfoStealer利用ShellExecute函數(shù)履行本身。要寄望“runas”號令，試圖以晉升的權限運行法度。假定一個用戶被提示UAC(用戶拜候節(jié)制)，他很可能會承諾該法度運行，因為它需要“restore his corrupted document files”。

　　假定用戶點擊了“More details about this error”， 以下的頁面將會打開。它是正常的微軟社區(qū)頁面，用戶在此發(fā)問、答復相干標題問題。

　　這里的標題問題恰是與“Corrupted Documents Folder”相干的，與揭示給受害用戶的犯錯信息窗口相干。

　　InfoStealer掃描所有正在運行的過程和它們的啟動號令行參數(shù)。這些號令行會被解析，假定匹配以下的模式，它們還會被陳述給(木馬)作者。這些模式代表著比特幣發(fā)掘的進行。假定cgminer在進侵電腦上運行，將會被陳述。

　　所有獲得的數(shù)據(jù)存放在[HKCU\Software\Classes\CLSID\{GUID}]注冊表鍵值中，這些信息稍后會被發(fā)送給報復打擊者。

　　總結(jié)

　　上面所揭示的歹意軟件試圖盜取多種法度的認證信息，或起碼陳述它們的存在。經(jīng)由過程點竄多處系統(tǒng)注冊表值來避免安然軟件或action center的通知辦事的運行，且該信息盜取者針對的對象為終端用戶。