xunaa 2:木马分析
MD5:71da18a5cd8e594eacd90654a5e0c6b3
文件信息
下载者制作广告木马MD5:
6fddc26c19b5b300a7d5903caecc1894
该木马采用易语言编写,并添加了易语言自带的花指令混淆。该木马由云端控制,入侵用户机器后调用QQ Talk接口发送广告。
木马开始访问http://107.150.51.202/51la/51.html。网页统计启动的木马数量:
然后访问http://69.30.242.182/img/logwk.txt获取标签
如果返回错误,则会下载并执行三个木马:
http://69.30.242.182/imgwk/xls.jpg
MD5: B583C6D1E133410938CFC185BAEA7945
该木马的简要行为:
http://69.30.242.182/imgwk/doc.jpg
MD5: 86F9D8B955EC9B9A58ABF22AAE3D6E52
该木马的简要行为:
木马通过傀儡进程写入iexpress.exe进程,释放C:\Windows\temp\kcbhgyd.sys并加载驱动修改主页。
这个驱动文件就是我们之前分析的CEIDPageLock
篡改浏览器列表:
篡改用户主页至:
篡改用户主页至:
http://69.30.242.182/imgwk/ppt.jpg
MD5: DCFA785905CDAA6DCD668C998C08BEBF
该木马的简要行为:
该木马通过http://www.0311bj.cn/packet/ISnapshot_4020_1_2018.exe直接下载安装,推广名为“Maverick Snapshot”的流氓软件。
访问http://www.ip138.com/ips138.asp获取用户IP并获取用户MAC地址,为木马收集用户信息做准备。
拼接得到的用户信息,发送打点请求:
处理完成后,循环进入QQ打开界面,检测本机是否启动了QQ。
如果QQ已启动,获取QQSkey(相当于QQ密码),访问http://69.197.191.90:82/获取广告码信息:
使用获取到的QQSkey调用QQ Talk接口发送上述广告内容
广告内容截图:
三:安全提醒
建议用户尽量不要下载来历不明的软件,也不要相信木马提示你退出安全防护,然后发现木马提示你立即清理。
此外,360安全卫士还推出了针对主页恶意篡改的主页修复功能,可以完美解决主页被篡改的各种问题。
用户评论
哈哈哈哈,我的经历和你一模一样!幸好及时发现把空间恢复了
有10位网友表示赞同!
这太可怕了!手机软件越来越邪门
有18位网友表示赞同!
还有这种操作?我平时从来没怎么注意安全问题...
有5位网友表示赞同!
QQ空间是我上网的阵地,如果沦陷就完了
有8位网友表示赞同!
浏览器主页被篡改真是恶心,还有QQ空间怎么办 我好慌啊
有6位网友表示赞同!
感觉自己快要被各种软件控制了...好无奈
有16位网友表示赞同!
警惕! 各位朋友们要注意安全问题
有9位网友表示赞同!
这都什么年代了,软件还得搞这些花活?
有8位网友表示赞同!
QQ空间是回忆的宝库,不能让他沦陷!
有6位网友表示赞同!
赶紧换个浏览器,多方防护好过一次性防
有14位网友表示赞同!
现在手机上下载任何软件都要谨慎啊...
有11位网友表示赞同!
我的QQ空间已经被广告恶心到了… 这还算轻的
有8位网友表示赞同!
太可怕了! 那些篡改网页的软件真的是让人抓狂
有12位网友表示赞同!
这种操作简直是给用户体验打个零分
有10位网友表示赞同!
以后再也不轻易相信陌生软件了!太危险了
有14位网友表示赞同!
我QQ空间里好多珍贵的记录,绝对不能让它沦陷!
有9位网友表示赞同!
看来要多学习一些安全知识才能在网络世界生存
有12位网友表示赞同!