内容简介:UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂
“微信支付”勒索病毒传播始末
UNNAMED1989”微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。
感染原理
分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,更进一步分析显示,他们使用了同样的被感染的易语言库文件,造成编译发布的外挂辅助软件均被感染了本次的下载器木马。那这些被感染的库文件从何而来的呢,我们在网上找到了线索。
该带毒模块最初是经由一名用户发布到“精易论坛”的,以模块源码分享的名义传播恶意模块:
而精易论坛的管理人员也发现了有人利用论坛传播木马,对相关事件进行了处理和说明: https://bbs.125.la/thread-14274716-1-1.html
经分析,该代码模块中确实夹杂了“私货”。使用这个模块编译出来的程序,会向特定目录下释放恶意程序:
其次,恶意模块还会访问两个指定的URL网址:
而这两个URL网址,和我们之前分析的下载者木马所访问的网络配置文件地址相同,其内容是被黑客加密过的配置信息(内容现已被编辑):
在木马读取到上述配置信息后,会到本地解密成明文的配置内容。这其中,就含有一个名为JingYiMoKuai.ec的易语言库文件和一个名为“krnln_static_5.7.lib”的静态链接库文件。
下载器木马会查找系统中的“精易模块*.ec”、“JingYiMoKuai.ec”以及“krnln_static.lib”文件,并使用网上下载的这两个模块,替换本地对应的模块,污染这台计算机的开发环境:
也就是说,恶意代码的扩散并不仅仅局限于木马自身的传播,还会通过污染开发环境,利用其他开发者进行二次传播,即:
1.原始攻击者A发布了隐藏有恶意功能的代码模块; 2.其他开发者B从论坛获取了上述模块,并加入到其开发环境中,这样B所开发的程序就同样带有了恶意功能; 3.如果B开发的一个 工具 被其它开发者使用,比如C,则开发者C可能会因为使用了这个开发工具也导致自己开发的软件被感染; 4.用户D使用C开发的软件时,也会遭到恶意代码的入侵。
如上所述,即便最终的用户D不知道原始攻击者A,也从没用过他的软件。但依然难逃被其间接攻击的命运。更形象的传播扩散流程图如下:
这类直接感染源代码或代码编译程序手法并非首次出现,2015年9月,就曾出现过震惊世界的iOS应用感染XCodeGhost病毒的事件。由于大量苹果开发者使用了被感染的XCode开发工具,导致众多iOS应用携带了恶意代码,盗取用户信息。这其中甚至包括了很多几乎所有人都会使用的一些“必备应用”,也均未能幸免。
同样,就在上个月也发生过类似的案件——一款热门JavaScript库被黑客植入了恶意代码。而使用Copay的用户一旦访问含有该JS库文件的网页就有可能被窃取钱包中的比特币:
在追溯过程中我们发现,“微信支付”勒索病毒作者早在2017年就开始制作并传播恶意软件,在2018年4月已经开始尝试,在开发者论坛散布携带病毒的项目,下面是其今年攻击过程的一个时间轴,可以看出攻击者是做了大量准备的,经过长时间测试后才对外正式传播病毒。
受影响用户
我们统计了这次被感染的软件,目前共计整理出918款软件,这个数量还在进一步增加。其中绝大部分是辅助类软件,可以看出有大量辅助工具的开发环境中招,这也造成更多使用这些辅助工具的用户受到威胁。
下面是部分受影响的辅助工具的文件名截图:
我们抽取了其中的一些关键词,可以据此看到被攻击群体的一些特点:
完整的列表可以到此链接处下载: https://bbs.360.cn/attachment.php?key=forum_5c06835608770_%E8%BD%AF%E4%BB%B6%E5%88%97%E8%A1%A8.zip
开发者和用户都可以检查一下,自己发布或者使用的软件是否在其中, 如果发现有自己使用过的软件,请尽快使用360安全卫士清除机器中隐藏的病毒木马!
主要危害
木马下载器
无论是恶意易语言代码模块,还是被感染的应用程序。都会进一步下载更多的恶意软件到受害用户机器中执行。其工作流程如下图:
在传播的最后阶段,木马母体会通过读取网络配置文件的形式获取包括 MySQL 、FTP、自身更新地址以及病毒分发列表等一系列信息:
这其中的downURL22字段所对应的地址,就是后续的“病毒木马大礼包”。
而在配置文件中所给出的FTP服务器中,我们看到了与前文中所写的Github中相同的配置文件:
其内容如下:
同时,分析人员还在里面发现了部分木马源码,使用了与此木马相似的C&C服务器:
信息窃取/源码窃取
此外,同样在配置文件中给出的MySQL数据库目前已无法连接。我们目前无法获知其中的具体数据内容。但根据木马母体中的代码可以看出,该母体会与MySQL数据库保持通信,并获取其中的指令信息。在获取到指令后,会根据指令进行对应的操作,功能列表如下:
其中文件回传功能,很可能被用来窃取开发者的源代码。
勒索病毒
回到核心的“病毒木马大礼包”中来:这其中最主要的当然就是我们的主角“UNNAMED1989”勒索病毒了。其相关分析和具体危害本文不再重复,有兴趣可以移步我们之前发布的报告中 《勒索病毒“UNNAMED1989”中招用户有解了!》
盗号木马
除了本次事件的主角之外,在“大礼包”中还包含了一款盗号木马。经过我们分析,该木马会试图窃取 支付宝、京东、163邮箱、微博、百度网盘、QQ、天猫、阿里旺旺、酷狗、迅雷、百度云 等的账号密码。
首先,该木马会初始化要窃取信息所需的字符串:
完成后,木马会遍历进程,找到AliIM.exe,AliWorkbench.exe,360chrome.exe等进程:
一旦找到这些进程,会进一步查找其窗口,并通过GetGetWindowTextA获取窗口标题栏的内容:
木马此时会将获取到的窗口标题与之前的字符串进行匹配,并发送到MySQL数据库中。此外,木马还专门针对支付宝的界面设计了定制化的盗号方案。该方案与我们熟知的QQ粘虫类似(我们就叫它“支付宝粘虫”好了)——会在出现支付宝支付界面时,创建一个编辑框贴在原本的支付宝支付密码输入框上面。这样一来,用户输入的支付密码实际上是输入到了木马创建的虚假支付框中。用户输入完密码,密码也就被发送到了黑客的手中:
处置方法
对于开发者
360安全卫士已经可以对该木马带来的“易语言模块被感染”问题进行修复。有易语言开发环境并疑似被感染的开发者,可以使用360安全卫士进行扫描查杀。
对于用户
如果已安装了360安全卫士的用户,只要确认360安全卫士实在正常运行的就不必担心。360安全卫士可正常拦截查杀该类木马。
如果未安装360安全卫士或之前将恶意程序添加信任中招的用户,可安装360安全卫士进行扫描查杀,彻底清除病毒。同时 “360解密大师”也已支持对该勒索病毒的解密:
预防方案
分析并复盘此次勒索病毒传播的始末,我们提出如下一些关键点需要大家格外留意:
1.软件开发人员更要留意计算机安全问题,因为软件源文件被感染,造成整个软件产品被植入恶意代码的事件时有发生,而受危害的往往是数量庞大的软件用户。软件开发者应该从正规渠道下载编译工具及开发环境相关文件,以免下载到被污染的开发文件,影响整个工程环境;
2.无论是开发者还是普通用户,都应安装安全软件并确保其正常运行,保护计算机安全;
3.作为普通用户,应该从正规渠道获取软件,同时做到不在安全软件退出的情况下使用来源不明的软件;
4.重要数据要及时备份。如果有条件,尽可能分开备份,以免备份数据与原始数据被同时加密或删除;
5.请相信安全软件的判断结果!切勿相信某些软件声称自己是被误报的论调。发现感染勒索病毒后,可以第一时间联系360互联网安全中心。
*本文作者:360安全卫士,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 色情勒索病毒和信息窃取木马的新套路
- 2018企业网络安全年度报告 | 勒索病毒、挖矿木马是企业安全两大核心威胁
- 首款集勒索、间谍、银行木马于一体的新型综合型 Android 病毒深度分析
- BUF早餐铺 | WannaCry救星承认开发、传播银行木马Kronos;美国天气频道遭勒索软件攻击,停止直播1个...
- 由一段神秘文字所引发的调查与分析 -- 集勒索、间谍、银行木马于一体的 Anubis 新变种追踪
- BUF早餐铺 | 警惕Rotexy移动木马,三个月内已发起超过70000次攻击;Aurora勒索软件的最新变种Zorr...
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Building Websites with Joomla!
H Graf / Packt Publishing / 2006-01-20 / USD 44.99
This book is a fast paced tutorial to creating a website using Joomla!. If you've never used Joomla!, or even any web content management system before, then this book will walk you through each step i......一起来看看 《Building Websites with Joomla!》 这本书的介绍吧!