不猜!叔叔,我们不猜!

近日,360安全卫士反病毒组捕获到了一个网购木马的样本,在其伪造的购物页面中,看到了木马作者在页面中的用户名:“SB你猜”……
捕获
遇到这样的质问……我也只能说:“不猜!叔叔,我们不猜!”

Faking…

其实说木马是网购木马并不十分准确,木马的主体只是一个下载器(Downloader)。而且程序会判断自己的文件名,除非是“9 刷单要求.exe”,否则就会展示出一副人畜无害的样子,企图用这种方式骗过安全人员。辅助工具
但一旦文件名正确,木马就真的“转”起来了……

Running…

木马程序加了NSPack的压缩壳——当然,这并没有什么卵用……简单就能解开。
image001 image002
木马会将自身复制到制定的目录下,目录名称好嚣张的样子……(╯`□′)╯(┻━┻
image004
同时还会创建一个指向木马的快捷方式,复制到系统的“启动”目录中:
image006 image008
当然,也少不了最传统的添加开机启动的方式——注册表Run项:
image009

Downloading…

木马做好铺垫工作,就开始干正事了——下载。没有域名,直接连的IP,并发起了一个HTTP请求:
image011 image013抓包

Injection…

至此,真正的网购木马主体就已经到了用户的机器上了。然而下载者却并没有将网购木马启动起来,反而是启动了一个svchost.exe,同时将刚下回来的网购木马内容写入到这个被启动的svchost.exe进程中。
image015
就这样,网购木马已经运行在中招者机器上了……木马会监控用户的网购行为,一旦发现alipay的支付页面,就替换成木马自己的支付页面:
image017
另外,除了支付页面,木马还为中招者准备了一个回收站页面和一个充值记录的页面:
image019 image021
不猜!叔叔,我们不猜!logo

2 thoughts on “不猜!叔叔,我们不猜!”

评论关闭。