黑客傀儡，腾讯平安威胁感知系统截获网银大盗木马提醒网友注重生疏邮件-黑客业务

刷子被冲洗：流量宝利用漏洞传播紫狐病毒，中毒计算机安装流氓软件

腾讯平安御视威胁感知系统T-F-278915恶意家庭分析后，家庭样本将窃取各种虚拟硬币，窃取多个国家（包括中文、日语、希腊语）银行账户登录凭证，删除用户浏览器信息，并行使用户计算机IQ采矿虚拟硬币等行为。

概述

T-F-278915恶意家庭分析后，家庭样本会窃取各种虚拟硬币和多个国家(包罗中文、日文、希腊语)银行账户登录凭证，删除用户浏览器信息，并行使用户电脑IQ采矿虚拟硬币等行为。

木马染色监控用户进行网上银行，支付相关操作，将复制剪切板信息、截图、键盘记录、中毒计算机隐私信息上传，通过建立义务设计，添加启动项目实现自动启动加载，病毒在这些操作中，顺便行使中毒机械计算能力挖掘。

现在网上银行盗窃木马已经散落在中国，其传播渠道主要依靠钓鱼勒索电子邮件。腾讯平安专家提醒用户小心点击来源不明的电子邮件附件和电子邮件提供的网站，腾讯计算机管家和腾讯皇家点可以检查和杀死。

详细剖析

1. 使用原样本C#写，其中Class1类解密出PE文件执行

2. 解密PE也使用文件C#写作，包括4个cs文件划分完成差异效果

VBPUCYYSDHPPQQEXNZXF.cs: 完成注入，替换过程镜像

kl.cs: 记录用户按键操作，保留内陆文件

OK.cs: 保留样本使用要害数据、数据转换、窃取用户电脑信息、与C2通讯

A.cs: 粘贴板内完成样品复制、启动、提高权利、建立设计义务、记录感兴趣过程与容量、截图、竣工过程相关的过程，删除用户浏览器数据，挪用其他3个模块功效

VBPUCYYSDHPPQQEXNZXF.cs注入模块主要完成

详细注入过程：把Framework目录下的RegSvcs.exe、aspnet_compiler.exe、RegAsm.exe、InstallUtil.exe拷贝到样本所在目录，从http://paste.ee/r/Jcre9、http://paste.ee/r/jeDt4、

http://pastebin.com/raw/XMKKNkb0处下载经由base64虽然这些网站的加密代码已经失效，但从其中一个给出的参数"--neoscrypt -g 1 -I 8 -o stratum tcp://hub.miningpoolhub.com:20510 -O pastet3i905hmi.workergpu:password"判断是IQ代码如下：

kl.cs代码如下：

OK.cs模块保留样品使用的关键数据，数据流模式转换，窃取用户的计算机信息C2通信关键代码如下：

A. cs模块存放main函数，按main代码顺序描述函数中的详细行为

建立互斥量"5cd8f17f4086744065eb0992a09e05a2"；

复制自己C:\Users\Administrator\AppData\Local\_foldernamelocalappdata_\在目录下，在文件的末尾添加guid；

base64解密配置文件；

设置CurrentUser下的Run、RunOnce按键启动，如下图所示：

设置3个计时器

计时器完成功效如下：

查找主窗口标题栏中包含以下字符串(其中包括希腊语、中文语、日语语还包括各种虚拟硬币、多国银行等关键词)

"credit card,tor browser,Adanced Cash,socks5,order complete,nixmoney,investing,free credit score,payment gateway,order summary,confirm id,confirm your id,payment confirm,confirm payment,deepweb,order status,remote desktop,mutual funds,paysafecard,credit rating,credit report,online trading,delivery status,qiwi,cryptocurrency exchange,moneypolo,online investing,registrar,e-pin,payroll service,checkout,add money,proof of id,ebay,banking services,paytm,payment,credit union,pay,banque,e-cheque,transaction,personal banking,domain services,id scan,webmoney,proof of address,e-wallet,moodle,trade bitcoin,prepaid,payment complete,dwolla,ftp://,identity scan,invoice,banking,internet bank,forgot password,carding,e-kzt,credit check,about tor,filezilla,shopping cart,ssh login,sell bitcoin,银行D,university,solidtrust pay,ftp details,neteller,domain name registration,add to balance,add funds,buy bitcoin,securecode,payment method,liqpay,paxum,web hosting services,hosting details,comdirect,unistream,okpay,epayments.com,merchant account,money voucher,payeer,college,domain management,paypal,completed pay,perfect money,domain name services,order details,ria money transfer,alipay,logmein,e-voucher,telephone banking,z-payment,visa qiwi,savings account,ewallet,τ¨?ρ??πDε?ζ?α¨￠,photo id,admin panel,paymer,バ¤Dン¤¨?ク¤?￥,chequing account,bill payment,yandex,money,cpanel,skrill,payza,idram,moneygram,pay stub,dark web,teamviewer,online banking,business banking,amazon workspace,bank of,putty,western union,deposit funds,internet banking,banco,account details,paysera,bank account,payment sent,bank,ssh session,payment succe,capitalist:,digital currency,investments,epese,deep web,epay global payment,epay.com,verified by visa,3d secure,debit card,verify,verification,card balance,account balance,hacked,carding,american express,imps transfer,bank transfer,cash deposit,moneypak,gofundme,crowdfunding,cashout,check balance,topup,top-up,recharge,top up,refill card,e-commerce,purchase tokens,available balance,payment info,jabber,icq,blockchain,coinbase,coinmama,localbitcoins,bitpay,digital signature,walmart,routing number,transit number"

的过程记录了此时粘贴板的内容，并保留在

C:\Users\Administrator\AppData\Local\Administrator.jpeg中；

同目录保留此时截图