欢迎来到云服务器

网络技术

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

一、轮廓

克日,腾讯反病毒尝试室拦截到一个恶意推广木马大范畴流传,总流传量上百万,经阐明和排查发明该木马具有以下特征:

1)该木马是通过网页挂马的方法流传的,经阐明黑客用来挂马的裂痕是前段时间Hacking Team事件爆出的flash裂痕CVE-2015-5122。新版本的Flash Player已经修复了该裂痕,可是海内仍有大量的电脑未举办更新,给该木马的流传缔造了条件。

2)经阐明和追踪,发明挂马的主体是一个告白flash,大量存在于博彩类网站、色情类网站、外挂私服类网站、中小型下载站等,以及部门混混软件的弹窗中,影响遍及。

3)挂马的裂痕影响Windows、MacOSX和Linux平台上的IE、Chrome欣赏器等主流欣赏器。经测试,在未打补丁电脑上均可触发挂马行为,海内主流欣赏器均未能对其举办有效拦截和提醒。

4)木马更新变种速度快,平均2-3小时改换一个新变种,以此逃避安详软件的检测,同时可低落单个文件的广度,逃过安详软件的广度监控。

5)该木马主要成果是静默安装多款混混软件,部门被安装的混混软件具有向安卓手机静默安装应用的成果,危害严重。同时该木马还玩起“黑吃黑”——可以或许排除已在本机安装的常见的其它混混软件,到达独有电脑的目标。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图1. Flash 裂痕挂马示意图

二、挂马网站阐明

经阐明和追踪,发明挂马的主体是一个告白flash,当会见到挂马网站时,该flash文件会被自动下载并播放,从而触发裂痕导致传染木马。如图2所示。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图2. 被挂马的网站之一

图3所示为带木马的Flash文件,有趣的是假如当前电脑flash已经打补丁,则显示正常的告白,假如flash未打相应补丁则会触发裂痕,在欣赏器历程内执行ShellCode。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图3. 挂马的flash文件

通过反编译flash文件可以发明,该flash是在Hacking Team泄漏代码的基本上修改而来的,该flash利用doswf做了加密和夹杂,以增加安详人员阐明难度。如图4所示为挂马flash代码。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图4. 挂马的flash文件反编译代码

裂痕触发后,直接在欣赏器历程中执行ShellCode代码,该ShellCode的成果是下载hxxp://222.186.10.210:8861/calc.exe到当地,存放到欣赏器当前目次下,文件名为explorer.exe并执行。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图5. ShellCode经夹杂加密,其主要成果是下载执行

Explorer.exe为了逃避杀软的查杀,其更新速度很是块,平均2-3小时更新变种一次,其变种除了修改代码以逃避特征外,其图标也常常变换,以下是收集到的explorer.exe文件的部门图标,可以发明主要是利用一些知名软件的图标举办伪装。

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图6. 木马利用的伪装图标列表

该木马流传量庞大,为了防备样本广渡过高被安详厂商发明,变种速度飞快,该木马10月中旬开始流传,停止今朝总流传量上万的变种MD5统计如下:

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

Hacking Team泄露裂痕被操作大范畴挂马导致上百万电脑中毒

图7.  停止今朝总流传量上万的变种MD5列表

三、木马行为阐明

木马运行后会通过检测判定是否存在c:okokkk.txt文件,假如存在则暗示已经传染过不再传染,木马退出,假如不存在则建设该文件,然后建设两个线程,别离用于安装推广混混软件和清理非本身推广的混混软件等。

腾讯云代理

Copyright © 2003-2021 MFISP.COM. 国外vps服务器租用 梦飞云服务器租用 版权所有 粤ICP备11019662号