事件描述
近日,截获了新型间谍木马Javacrypt,此木马不仅会窃取用户浏览器和Email 信息,还会窃取被感染系统中Minecraft 游戏账号信息,并删除steam 游戏平台文件。其通常通过垃圾邮件以及恶意站点传播。
攻击流程
病毒详细分析
母体文件Javacrypty(windowsupdate.exe、windows update.exe、Sys.exe)分析
加载加密的字符串,以便后面解密调用,此字符串经过base64 和rijndaelmanaged 加密:
读取备份病毒的目录信息,写入sysinfo.txt。
随后备份病毒至roaming 文件夹并重命名为windowsupdate ,伪装成系统更新软件并调用
process.start 运行。
把pid 和文件位置写入pid.txt 和pidloc.txt。
调用解密函数解密字符串ftp、smtp、php 等相关信息,为后续窃取信息并上传做准备。
-
ftp 解密及用户名和密码:ftphost=ftp20.hostland.ru
-
Phplink 和passstring 解密。
-
Smtpstring 解密:
-
解密密钥256 位。
获取中毒机器IP 地址:
读取系统中的防火墙和杀毒软件:
开启10 个线程,分别进行不同的操作:
-
线程1:弹出虚假信息弹窗,让受害者误以为病毒未成功运行。
-
线程2:修改注册表键值,修改系统显示文件的状态。
-
线程3:获取计算机基本信息并发送邮件至服务器。
-
线程4:读取进程列表是否有bitcoin 相关进程,若有则终止,并窃取钱包文件wallet.dat。
加载第一个PE 文件用于读取mail 密码。
加载第二个PE 文件用于读取浏览器密码。
从内存中dump 出窃取mail 和web 的文件,这两个文件是读取浏览器与邮箱密码的常用工具Mail PassView 和WebBrowserPassViwer。
释放第三个PE 后门程序。
-
线程5:读取系统中是否存在Minecraft 游戏,若存在窃取lastlogin 文件。
-
线程6:在后台实时kill 系统工具进程,并添加自启动。
kill 任务管理器、注册表、msconfig 和cmd。
添加注册表的键值以达到自启动的目的。
-
线程7:上传信息到ftp。
-
线程8:上传信息到php。
-
线程9:上传截屏信息。
-
线程10:传播模块,此行为类似于文件夹病毒,通过对计算机中的盘符写入autorun.inf 以及病毒文件sys.exe 达到感染磁盘的目的,通过可移动设备传播到其它计算机。
停止steam 进程,并删除steam 组件SteamAppData.vdf、ClientRegistry.blob:
读取浏览器信息文件:
病毒上传文件时会检测ftp 是否能连接上,若能则输出yesftp,否则输出noftp,并换成php 链接。
Ebfile_1.Exe(Yandex.exe、Server.exe、ok.exe) 分析
此组件主要用于添加防火墙放行目录,创建计划任务。
病毒会先查看系统中是否有互斥体Yandex,若有则停止运行,否则创建互斥体并运行。
查看是否有病毒副本ok.exe,若无则创建并运行ok.exe,开启新的进程,结束此进程。
关闭系统安全警告弹窗。
关闭添加防火墙放行。
创建计划任务,删除自身并结束进程。
手动查杀方案
-
由于cmd 进程会被查杀,所以使用PowerShell 执行taskkill /f /IM “windows update.exe”;
-
删除恶意计划任务Server;
-
打开任务管理器终止Yandex.exe 进程;
-
打开注册表,删除HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run 中的自启动项WindowsUpdate.exe 和Yandex.exe。
-
安全建议
-
打开系统自动更新,并检测更新进行安装;
-
请到正规网站下载程序;
-
不要点击来源不明的邮件以及附件,邮件中包含的链接;
-
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
-
尽量关闭不必要的端口及网络共享;
-
请注意备份重要文档。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
