作者:趋势科技资深威胁研究人员Lion Gu
后台服务器接受Trojan木马窃得的数据。服务器是一个使用了活动服务器网页(Active Server Pages,简称ASP)技术的网站。为了测试这个恶意软件,我们设了一个使用了因特网信息服务(Internet Information Services,简称IIS)的网站。如图所示,后台服务器需要用户名称和密码以便登入。
图5、后台服务器登入页面
后台服务器备有4个主要功能:
检查偷盗得的资料
管理群组使用者
管理一般使用者
复审服务器访客纪录
图6、后台服务器4个主要功能
活动服务器网页(Active Server Pages,简称ASP)是Microsoft微软第一个为机动产生网页而提供的伺服端程序代码引擎。最初是透过NT 4.0选项套组做为因特网信息服务(Internet Information Services,简称IIS)的插件来发布,之后成为Windows 2000服务器的免费组件之一。
群组使用者多数指的是网站的持有者。可增加或移除用户帐户,无论是网页的typeXpower或normalXon。
图7、群组使用者的管理页面
相较之下,一般使用者则可看到被偷盗的除了密码外的数据。一般使用者通常会被给予Trojan木马分送器。
图8、一般使用者的管理页面
Trojan木马分送者利用破坏弱点漏洞的方式入侵合法网站,并将Trojan木马的下载URL注射入被入侵的网站中。他们也可与数个提供免费下载音乐,电影和软件的小网站管理者达成协议。这些网站的管理者会将Trojan木马下载URL注射到所管理的网站中,诱使用者点击恶意的URL。Trojan木马分送者会支付款项给网站管理者。Trojan木马分送者则按所偷得的账户数量获得金额,因此他们需要定期登入到访客纪录页面去查看最新的偷盗得的帐户资料数量。
图9、访客纪录页面
这套Trojan木马工具组背后的网络犯罪集团制作了一个展示页面,其中包括了利用该套工具取得的偷盗数据样本,藉由XWM工具组的能力展示来说服客户。
图10、展示网页中被窃得数据的样本
多数被偷盗的数据皆在RMT实体货币交易平台贩卖,如5173.com和Taobao.com
图11、在5173.com上贩卖的被窃虚拟资产样本
更多关于XWM的内容
无庸置疑地,制作出XWM工具组的网络犯罪集团主要目的就是获取利益。他们将工具组卖给其他的网络犯罪份子,其证据就是在展开XWM工具组后出现的注册窗口。使用者如果想要使用Trojan木马产生器就需要购买并输入注册码。
图12、XWM工具组注册窗口
XWM工具组的制作罪犯也在特定的网站中广告该套工具组。在该则广告中,一个Trojan木马产生器可以人民币2千3百元购得。每一式Trojan木马执行文件价格则是在人民币2百50元。购买Trojan木马产生器或至少一个Trojan木马的使用者,同时也可获得6个月免费的防侦测服务,以及后台服务器的寄存服务。不过使用者也可使用自己的后台服务器寄存。
图13、XWM工具组广告
结论
本研究报告所介绍的,是一款热门的在线游戏Trojan木马工具组,名称是XWM工具组。XWM工具组有两个主要组件,一个是Trojan木马产生器,另一则是后台服务器。
XWM工具组极为容易设定。要制作一个Trojan木马时,网络犯罪份子只需要将后台服务器的URL 输入到Trojan木马产生器的设定区内即可。被制作并分送到用户系统的Trojan木马便可开始偷盗数据,并按网络犯罪份子所指定的URL传送到后台服务器中。
而所附的后台服务器使用也非常容易,因其会将到手的数据妥为组织整理,让偷盗虚拟资产的工作可迅速执行。
XWM工具组的目标是中国境内21个热门在线游戏的数百万名因特网使用者。庞大的游戏人口使此Trojan木马工具组极有可能成为最受网络犯罪份子喜爱的攻击路径。
因此提醒使用者们,特别是热情的在线游戏玩家们,在响应无预期的下载要求时务必要特别小心。我们强烈建议不要下载看来可疑的档案,也不要点击不太可信的联结。
使用者也可利用使用了Smart Protection NetworkTM主动式云端截毒技术的Trend Micro趋势科技产品,该技术中的档案信誉技术可侦测及预防利用XWM工具组所制作出的Trojan木马的下载。Smart Protection Network主动式云端截毒技术的网络信誉技术也会防阻使用者接触任何相关的恶意URL。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
