从Locky新变种谈敲诈者木马的一些免疫技巧

0x1前言 Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,L…

继续阅读 →

Linux远控分析

0x1 前言 在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远…

继续阅读 →

“XTBL”敲诈者木马分析

0x1前言 “XTBL”敲诈者是一款专门针对Windows服务器的敲诈者木马,最早出现于2015年,不过当时只在小范围传播,并未大面积影响国内服务器。自今年六月起,“XTBL”敲诈者再次爆发,开始大面积影响国内服务器,同时出现多个变种,其危害程度不容小觑。 图1 搜索引擎返回结果显示“XTBL”敲诈者盛行         服务器感染“XTBL”敲诈者后,服务器中文档,压缩包,图片等文件均遭到加密,…

继续阅读 →

浅谈hook007的自启动手法

0x1前言 hook007是国产远控木马的代表性产物,已经在远控市场上活跃了好几个年头。该款远控木马的攻击目标为游戏玩家,木马持有者以交易游戏装备为理由私信玩家,并利用QQ等即时通信软件联系玩家,发送伪装装备截图来诱导玩家点击,之后玩家计算机会出现鼠标被强制移动,黑屏等情况,等一切恢复正常后玩家的游戏装备已经被转移到木马持有者账号中。因此在游戏界该款木马也被称做“强制交易马”。 hook007是基…

继续阅读 →

分享一款失败的国产加密勒索软件

一、 前言 近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军。以Locky家族,ceber家族为典型代表的加密勒索软件席卷国外,对政府机构,公司乃至个人用户造成了极大的危害。早期的加密勒索软件一般以网页挂马形式出现,“落户”到本地运行后会经过一系列的代码重组及解密操作得到用于执行主要功能的shellcode,然后运行shellcode对指定文件进行加密。由于程序代码段在解密和解…

继续阅读 →

“百合一”盗号木马分析报告

0x1 前言 近日,360互联网安全中心捕获到一枚窃取国外用户个人信息的木马程序。该木马外壳使用c#语言编写,经过两次代码解密操作后完成“金蝉脱壳”,执行最终的功能代码。在木马的运行过程中,关键代码只在内存中执行,并没有“落地”,这也增强了木马的隐蔽性。木马的主要功能是盗取用户计算机中超过一百种敏感信息,包括浏览器中自动保存的账号密码,facebook账号密码,本机登陆账号密码等,真正的大合集盗号…

继续阅读 →

某针对韩国网银的后门程序分析

0x1 前言 最近,360互联网安全中心捕捉到一枚针对韩国网银的后门程序,该后门程序与2014-2015年爆发的KRBanker木马攻击手法相似,极有可能是同一团伙所为。KRBanker木马是一种结构复杂,针对性强的银行木马,它利用网络挂马等方式欺骗用户下载安装,通过监听劫持DNS协同本地数据打包上传的方式盗取用户网银账户信息。此次捕获的样本相对于之前的木马在功能上有所改进,不再是单一的DNS劫持…

继续阅读 →

别一言不合就退杀软

0x1 前言 随着游戏产业的不断发展,外挂行业也变得热门。许多游戏玩家为了能在游戏中获得远超于他人的发展速度开始大量使用外挂,而在外挂中嵌入木马进行盗号或者远程控制的行为层出不穷,加上外挂作者要求用户关闭杀软“躲避查杀”等因素,外挂是否安全成为未知数。最近,360互联网安全中心接到用户反馈,在关闭360安全卫士和360杀毒使用外挂之后,360安全卫士和360杀毒竟然无法重新打开。究竟是何原因导致这…

继续阅读 →