诚信网安--子明

【51CTO.com 专家特稿】近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接,访问该链接将导致用户电脑感染多种***程序,经过仔细分析这些***几乎都归于一类——Trojan-PSW***!
一、Trojan-PSW***的定义
近年来,网络犯罪和破坏更加趋向于能够给***者带来直接或间接的经济利益,像之前对纯技术的追求已经不那么明显,而随着***技术和***工具的普及, 使得网络犯罪与破坏的技术门槛降低,许多不法分子利用这些技术进行非法牟利,其中最突出的表现就是Trojan-PSW***的大肆传播。
在用户不注意的情况下,将***程序植入用户电脑,自动获取预先指定好的、***所有者所感兴趣的用户敏感信息资料,并通过***程序将非法窃取的资料发 送给***所有者,这样的***程序通常盗取银行帐号、网络游戏帐号、信用卡卡号等以及对应密码,因此被归类于Trojan-PSW***。
Trojan-PSW***是随着网络发展而出现的,当人们感受到计算机以及互联网给日常生活带来的便利后,开始倾向于将一些敏感的信息存储在电脑上 或者通过电脑进入互联网发送这些信息,这样就给了不法份子进行“网络盗窃”的条件。他们开始设计一种恶意程序,并通过各种各样的方式植入用户电脑,从中搜 索自己需要的资料或者直接截取到用户输入的信息,记录下来后转发给自己,然后利用盗取的资料从事非法牟取暴利活动。此类***往往不需要太多的技术含量,可 能利用一些系统漏洞进入用户系统,不过大多数情况下,是通过诱骗用户点击某个网站链接,或者直接通过即时聊天工具发送***程序给用户,当用户运行***程序 或者访问过恶意链接后就会间接感染该***。
二、Trojan-PSW***的特点
Trojan-PSW***在网络上已经出现了好几年,而且引发的安全事件以及犯罪行为都在不断增加,其破坏不容小觑。
究竟该类***如何植入用户电脑?
如何在用户电脑中获取到敏感信息呢?
究竟***作者所感兴趣的敏感信息有哪些?
当获取到信息后,又是如何将信息发送给***所有者呢?
下面就是总结出的一些Trojan-PSW***特点:
1.利用“社会工程学”等手段侵入用户电脑
***相对于蠕虫来说,缺乏主动传播性,***的所有传播行为都是有人为参与,而不像蠕虫那样不需要人工干预,可以自发地搜索可感染目标。再有***比较有针对性,通常是种一对一或者一对多的***行为,而蠕虫是一种无法预测、不能控制的多对多的***。
由于***的这样特点,使得***的传播与其他病毒有一定的区别,但大多都利用了一些 “社会工程学”的技巧:
(1)利用系统漏洞直接传播
用户电脑本身存在系统漏洞,如操作系统漏洞或者是IE浏览器漏洞等,都可以被不法分子利用,直接将***程序复制或者下载到用户电脑并进行安装。
(2)利用即时聊天工具诱惑传播
据统计,这种传播方式最为有效,也是***所有者惯用伎俩,即时聊天工具 的普及给了他们传播***程序的媒介,且利用了人们的好奇、贪小便宜的心理以及对好友不设防的薄弱思想,通过发送一段具有诱惑性内容的消息,附带一个链接, 诱使用户点击访问。一旦访问,就会自动将***程序下载到用户机器并运行起来。
(3)利用网站、论坛欺骗传播
***程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息,如一些小工具、恶意网站地址,欺骗用户说可以获取何种利益,其中就安放了一些***程序,等待用户下载运行。
(4)利用电子邮件强行传播
***所有者发送附带***程序的电子邮件,邮件主题比较吸引人,使用户浏览附件,从而感染***。
2.窃取敏感资料的方法
***程序成千上万,但其窃取资料的手段大致可以归类为以下几条:
(1)搜索文件
通常重要的信息可能存在几类文件中,比如.txt文本、.doc文档、.xls表格等 等,那么***作者可能就会让***程序自动搜索用户电脑上可能记录了关键信息的文件,从中获取字符串,并记录在自己的日志文件里;此外窃取密码的***针对性 比较强,如针对于某一个网络游戏、某一种商业软件,其记录关键信息的位置往往也固定于一些文件之中,通过遍历文件,搜索其中关键字符,也同样能够获取到有 用信息。
(2)键盘截取
这类***功能较为简单,不针对各类文件,而直接针对于用户输入信息的关键设备——键盘。***运行后,会将用户敲击键盘的顺序和内容记录下来,存为一个文本,其中可能就包括了用户的一些常用的帐号和密码,成功率也比较高。
(3)检测有效窗口
当***检测到某个程序的窗口为当前有效窗口时,其会启动记录功能,将用户输入到窗口的信息完整记录下来,例如检测传奇客户端窗口。
(4)查找cookie信息
用户在登陆一些网页时会产生一些cookie信息,其中可能包含了一些像用户名及密码一类的关键信息,***程序会读取cookie文件,从而获得有效信息。
3.窃取信息的种类
前面提到Trojan-PSW***的使用通常为了获取非法的经济利益,这些经济利益的来源就是***做窃取到的重要信息资料,安天CERT整理近几年Trojan-PSW***所涉及到的敏感信息资料:
(1)网络银行类
像工商银行、交通银行、商业银行、招商银行、农业银行、中国银行等指明国内银行的帐号密码以及信用卡等业务的相关资料。
国外的情况也类似,主要设计到集中信用卡的信息窃取,如Visa、MasterCard等。
(2)网络游戏类
随着网络游戏近几年的飞速发展,其拥有的玩家也越来越多,游戏所制造的网上财富也日益 增加,一时间,大量***瞄准了这块风水宝地。因此也出现了大量针对于网络游戏的***,像传奇盗号的***已经成为一个家族——Trojan- PSW.Win32.Lmir,变种不计其数。通过获取玩家的游戏帐号和密码,***所有者或将玩家人物角色卖出,或将玩家高级装备在游戏中出售,从而获取 高额“利润”。通常他们都是在获得该装备后,迅速把装备转移到他在该区申请的游戏帐号上面,进行黑货转移,并迅速以现金进行交易,等游戏玩家申请完,整个 交易已经早早的交易完毕,这同时也指出了网络法定关于虚拟财产方面的定罪的空白。
(3)网络通行证类
通常指一些论坛或者电子邮箱的登陆帐号和密码,窃取这些帐号后,能够获得其中的有价值资源,或者冒充被盗人进行一些非法活动。
(4)聊天工具类
诸如QQ、MSN等著名聊天工具,也是此类***及***作者垂涎的猎物,一个好的QQ号码能够在网上卖到很高的价钱,这其中的利益就是他们行窃的原动力。
(5)商业机密类
商业竞争激烈,如果能够获得对手的关键资料,那么就可能赢得一场艰难的商业战,而***获取商业机密类信息所“赚”来的利润也是最高的。
(6)大型软件类
***所有者可能会去针对某款正版软件的序列号或者某游戏的CD-KEY进行盗窃,将这些资源卖给那些想使用正版,但苦于不能注册的用户。
4.信息回收方式
当***窃取到大量信息后,会在用户电脑产生记录,随后会通过几种常用的方式发送给***的“主人”,我们称之为信息回收过程,下面就是几种***常用的信息回送方式:
(1)HTTP服务器
***所有者建立一个HTTP服务器,接受从***程序反馈回的消息,通常***程序使用get方式将消息发到服务器。
(2)FTP服务器
***所有者通常会在一台电脑上搭建一个FTP服务器,并配上公网IP,然后在自己的***程序中事先设定好,这个服务器地址。一旦***获取到资料后,就主动连接此服务器,将资料上传,而无须人工操作。
(3)SMTP服务器
***所有者会在***程序中设置一段代码完成发送电子邮件功能,将记录信息以电子邮件的方式发送到病毒所有者的邮箱中,或直接将信息写为邮件正文,或作为附件进行发送。
(4)TFTP服务器
类似于FTP服务器,只不过类型不一样,此类服务器上传小文件,尤其像记录少量信息的文本文件,有一定的速度优势。
(5)IRC服务器
通过IRC服务器中的DCC命令也可以传送文件,***所有者预先告诉***当获得信息后连接到某个特定的IRC地址,并使用DCC命令将文件发送到所有者手上。
(6)后门功能
类似于后门程序,在感染该***的电脑上开启一个端口,或者直接架设一个上面(1)、(2)、(3)中提到的服务器,等待用户自行下载***文件。
三、典型Trojan-PSW***分析
1.Trojan-PSW.Win32.Lmir.lq(传奇天使)
病毒标签:
病毒名称: Trojan-PSW.Win32.Lmir.lq
中文名称: 传奇天使
病毒类型: ***
危害等级: 中
文件长度: 62,525 字节
感染系统: windows9x以上的所有版本
编写语言: Microsoft Visual C++
病毒描述:
传奇天使是专门盗取传奇账号的***,感染后传奇天使后,该病毒会窃取传奇玩家的 区名称和ID名称,密码,及登陆服务器。感染该病毒后会在系统目录下生成病毒相关文件winker.exe或 winker.dll,搜索反病毒及安全软件的进程,找到后便将该进程中止,通过修改注册表,启动服务,并随系统同时启动。
行为分析
1)修改注册表
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
添加键值:"默认"="%Windir%winker.exe"从而达到随系统启动的目的。
2)在系统目录下释放文件winker.exe或winker.dll。
3)关闭如下进程:天网防火墙个人版,金山网镖2003,瑞星杀毒软件。
4)修改注册表,调用kernerl32.dll的RegisterServiceProccess,从而注册为服务。
2.“网银大盗”
病毒名称:网银大盗Ⅱ
病毒类型:***
病毒大小:16284字节
传播方式:网络
压缩方式:ASpack
该***盗取几乎涵盖中国当时所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此***与4月份截获网银大盗有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大、更直接,也给各网上银行造成更大的安全威胁和信任危机。
具体技术特征如下:
(1)病毒运行后,盗取的网上银行涉及:
银联支付网关-->执行支付
银联支付网关
中国工商银行新一代网上银行
中国工商银行网上银行
工商银行网上支付
申请牡丹信用卡
招商银行个人银行
招商银行一网通
个人网上银行
中国建设银行网上银行
登陆个人网上银行
中国建设银行
中国建设银行网上银行
交通银行网上银行
交通银行网上银行
深圳发展银行帐户查询系统
深圳发展银行|个人银行
深圳发展银行 | 个人用户申请表
深圳发展银行:
民生网个人普通版
民生银行
网上银行--个人普通业务
华夏银行
上海银行企业网上银行
上海银行
首都电子商城商户管理平台
首都电子商城商户管理:
中国在线支付网: :IPAY网上支付中心
中国在线支付网商户
招商银行网上支付中心
招商银行网上支付
个人网上银行-网上支付
(2)病毒算机中创建以下文件:
%SystemDir%\svch0st.exe,16284字节,病毒本身
(3)在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:
“svch0st.exe”=“%SystemDir%\svch0st.exe”
“taskmgr.exe”=“%SystemDir%\svch0st.exe”
(4)病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}
{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}
{Insert}{Delete}{Del}{F1} -- {F12}
{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}
;:=+,<-_.>/?`~][{\|]}'
(5)病毒截取到键盘值后,会形成信息发到指定 http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××银行:<截获的按键>
(6)病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。
3.“证券大盗”
该***可以盗取多家证券交易系统的交易帐号和密码。
具体技术特征如下:
(1)病毒运行后,将创建自身复本于:
%WinDir%\SYSTEM32.EXE, 201216字节
(2)在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
(3)***运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码。
(4)在记录键盘信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:
c:\Screen1.bmp
c:\Screen2.bmp
(5)当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到 webmaster@****.com
(6)发送成功后,病毒将自身删除,但4中生成的.bmp图片并未被删除。
4.Trojan-PSW.Win32.QQRob(啊啦大盗)
啊啦大盗是一个窃取QQ密码的经典***程序,当感染该病毒后,会出现无故弹出一些网页广告,使得某些反病毒软件不能正常运行,QQ密码丢失等现象。
具体行为分析:
1.该***隐藏于一个畸形的CHM文件中,打开这个CHM文件,***就会被自动释放出来并且得到执行;
2.***被释放到%SYSTEM%目录,名为“NTdhcp.exe”,具有“隐藏”、“系统”和“只读”属性;
3.修改注册表,在注册表启动项
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下,
添加如下值:"NTdhcp"="%SYSTEM%\NTdhcp.exe"
4.删除大量反病毒软件的在注册表启动项中的值:
KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall
KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz
MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe
VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service
KavStartKWatch9x
5.设置注册表中下列各项的“Start”值为4,从而禁止这些反病毒服务程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
6.监视禁止以下反病毒进程:
FireTray.exe  UpdaterUI.exe  TBMon.exe  SHSTAT.EXE  RAV.EXE  RAVMON.EXE
RAVTIMER.EXE  KVXP.KXP  KVCENTER.KXP  Iparmor.exe  MAILMON.EXE
KAVPFW.EXE  KmailMon.EXE  KAVStart.exe  KATMain.EXE  TrojanDetector.EXE
KVFW.EXE  KVMonXP.KXP  KAVPLUS.EXE  KWATCHUI.EXE  KPOPMON.EXE
KAV32.EXE  CCAPP.EXE  MCAGENT.EXE  MCVSESCN.EXE  MSKAGENT.EXE
EGHOST.EXE  KRegEx.exe  TrojDie.kxp  KVOL.exe  kvolself.exe  KWatch9x.exe
四、Trojan-PSW***防范
Trojan-PSW***的出现标志着网络***事件已经不再是单纯的技术突破,而更倾向于经济利益的获取,如何去防范这类***的破坏行为已经成为人们日益关注的问题了。
1.保持高度的警惕性,不要轻易点击网上的链接,在接受到文件后,先使用杀毒软件进行检查。
2.经常检查电脑状态,是否有可疑进程运行、是否有不熟悉的文件、启动项和注册表键值、是否有不正常的网络连接行为、是否被开放不熟悉的端口等。
3.妥善存储帐号密码一类的敏感信息资料。
4.在做网上交易的时候,尽量使用软键盘操作,有能力的,还是建议使用银行开发出的u盾或其他移动存储设备。
5.不去访问一些小的网站,以免被种植上***,勤升级病毒库和及时打微软或linux系统的补丁。
综述:
随着个人利益的追求最大话,越来越多的技术性选手开始走向黑色经济那边,他们将更多的***和底层***工具进行捆绑,开发出免杀的dll***并和盗号 ***进行合并,组成新型的******工具。从以上的这些分析的数据来看,对手的编写水平是在突飞猛进的增长,对我们也是一个强大的考验,这种盗号***的出 现,更说明了他的背后有很广阔的市场,有很强大的地下交易市场,所谓治病需除根,呼吁有关部门还是要严查这些地下市场,切断其根部,断了它那源源不断的黑 色血液,在这里也给那些刚出校门的或者还在校园里面,平时喜欢使用一些***工具的人,从最近几个朋友给我聊天和询问的情况来看,红狼小组开发的这个远程控 制很受欢迎,对于个人用户来说十分有效,但是,在这里我忠心的告诉你们,不要以为会玩几个***工具就能当***,真正的***根本不会去无聊到黑个人机器,学 校服务器等,可能由于一些爱好和兴趣,早先黑过一些机器,但是黑完以后他也要面临巨大的代价,请你们把精力用在学习上,不要幻想着开发一个病毒,黑下一个 知名站点而觉得能一下成名,“钱”途无量。
同时针对这样的盗号***我和安天的cert小组也配套开发出了一些专用检查工具,在这里我还是要感谢安天cert全体小组成员的大力支持和帮助,也 要感谢诚信网安团队成员能积极的对一些用户提交的可疑病毒进行逆向分析,在短时间内完成专杀工具的开发,还要感谢我身边的王清、王琪两个兄弟的帮忙。