您当前的位置: 首页 > 金融

粘虫变身中秋礼品360全面拦截iyiou.com

2019-03-11 15:58:38

“粘虫”变身中秋礼品 360全面拦截

中秋节临近,电商站的优惠活动铺天盖地,一些电子礼品优惠券在上疯传,其中也暗藏杀机。

友@JJooru发微博表示,他从群共享文件里下载的中秋礼品优惠券,据说可以在京东、天猫好些站上买月饼礼盒抵20元优惠。下载回来打开一看,结果被360安全卫士发现是伪造登录窗口盗号的木马!

采访360安全中心获悉,所谓的中秋礼品优惠券其实是一类名为粘虫的盗号木马,在群共享传播的文件中,还有很多类似中秋节放假通知、中秋节带薪休假详情等压缩包均是木马伪装的。这些木马只要经过简单的免杀处理,就会绕过安全检测机制上传到群共享文件中,建议友使用360等专业安全软件,能够更全面地拦截查杀此类木马。

360反病毒专家安扬介绍说,粘虫会攻击程序,造成掉线的假象,再弹出伪装登录窗的钓鱼窗口,骗友输入账号密码。这时无论受害者输入的密码是否正确,木马都会提示密码错误,要求重新输入。但实际上,受害者输入的账号密码都已经被发送到黑客服务器上。

据分析,的粘虫木马变种会把受害者的号和密码发送到114.215.203.191这个IP散之有方时刻做好致富的准备机会敲门的声音很轻地址,而此IP归属为北京市创联万国际信息技术有限公司。

由于粘虫木马更新速度极快,能轻易突破安全检测机制混入群共享中,木马展示钓鱼窗口的手段也不断变化,目前仅有360安全卫士云主动防御能够全面拦截粘虫的变种。

安扬提醒广大友,切勿贪图小便宜领取来路不明的电子优惠券,同时要养成良好的上安全意识,开启360安全卫士拦截木马病毒,以免账号被盗遭遇损失。

附:粘虫变种技术分析

木马作案流程

一、干扰正常运行,比如不停小化窗口,禁用窗口等,造成掉线的假象;

二、展示伪装登录的钓鱼窗口,诱骗受害者输入号和密码;

三、将受害者输入的密码数据传给盗号者;

四、恢复正常运行。

粘虫变种的代码与逻辑分析:

进程启动,隐藏自身:

注册窗口,接收消息:

查找

通过内存暴搜,在其之前,就是号码

木马常用的方法,还有找OP标志位:

找ADUIN等,方法均大同小异,通过内存特征,定位到号码:

之后查找任务栏,拿到handle备用

查找前台窗口,寻找类名称是TXGiFondation的窗口,这也是盗号木马中,找窗口的通用方法。

检测到窗口存在后,等待8秒钟,创建钓鱼使用的窗口:

钓鱼窗口使用到的资源:

在另一个线程中,向发送小化消息,之后显示木马窗口。

木马作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW,近改用MINIMIZE和暮听秋虫低吟EnableWindow的消息了。

EnableWindow消息

通过小化窗口,隐藏窗口,禁用窗口等方法影响正常工作。

客户端展示的木马钓鱼窗口

在窗口的消息处理中,无论次输入什么密码,均会提示密码错误,要求再次输入密码,两次输入的密码均会发给后台:

木马发信方式:

木马发信中,写死了收信的IP地址,114.215.203.191 来自:北京市 创联万国际信息技术有限公司

发信使用的WinSock标准的TCP连接发信的:

完成操作之后,注入calc进行自删除

也有部分木马,使用COM接口,调用浏览器,打开本地文件的方式发信:

代码中可以看到,这是一个叫XH 大盗 Vip的木马:

2006年厦门教育综合C+轮企业
微信6.0的O2O闭环需要第三方!
亚马逊市值达到3580亿元美元超过Facebook
推荐阅读
图文聚焦