双11剁手节前小心浏览器被劫持,腾讯电脑管家可以查杀
【文章摘要】 腾讯平安御见威胁情报中心检测到Sality熏染型病毒活跃,该病毒同时流传“剪切板大盗”木马偷取数字加密钱币。在国家大力发展区块链相关产业的大靠山下,种种数字加密币的买卖空前活跃,以比特币为首的种种数字加密币趁势爆涨。Sality病毒行使自己确立的P2P网络,流传以偷取、挟制虚拟币买卖为目的的剪切板大盗木马,将会对虚拟币买卖平安组成严重威胁。一、靠山
近期腾讯平安御见威胁情报中心检测到Sality熏染型病毒活跃,该病毒同时流传“剪切板大盗”木马偷取数字加密钱币。在国家大力发展区块链相关产业的大靠山下,种种数字加密币的买卖空前活跃,以比特币为首的种种数字加密币趁势爆涨。Sality病毒行使自己确立的P2P网络,流传以偷取、挟制虚拟币买卖为目的的剪切板大盗木马,将会对虚拟币买卖平安组成严重威胁。
Sality病毒最早于2003年被发现,最初只是一个简朴的文件熏染程序,具有后门和按键纪录功效。Sality厥后增加了组建P2P漫衍式网络的功效,在增强了流传速度的同时也具有了更大的损坏能力。
Sality病毒拥有一个内置的URL列表,同时可以从其他受熏染的P2P网络中吸收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒组织的P2P网络流传其他病毒木马或以恶意推广软件赢利的计谋十分天真。
当前版本的Sality熏染型病毒具有以下特点:
1、损坏系统平安设置;
2、熏染内陆硬盘、可移动存储装备、远程共享目录下的可执行文件;
3、行使可移动、远程共享驱动器的自动播放功效举行熏染;
4、将自身注入到其他历程中,以便能够将下载的DLL加载到目的历程;
5、建立一个对等(P2P)僵尸网络;
6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符花样判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并举行转账操作,数字资产就会被盗。
凭据腾讯御见威胁情报中心统计数据,此次Sality病毒攻击影响跨越3万台电脑。从区域漫衍来看,Sality在全国各地均有熏染,最严重区域分别为广东、江苏、河南、山东。
从熏染行业漫衍来看,Sality影响最严重的依次为科技、制造业和房地产行业。
二、详细分析
Sality熏染型病毒
Sality使用外壳程序珍爱,执行后首先解密出焦点代码,然后跳转到入口执行。
建立互斥体"uxJLpe1m"以保证木马历程具有唯一实例。
枚举和删除位于以下注册表子项中的所有条目来阻止受熏染的盘算机进入平安模式。
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
将恶意代码指令注入到其他历程(清扫属于系统,内陆服务或网络服务的历程)中,从而允许代码将从远程服务器下载的外部程序加载到目的历程中,病毒使用基于每次注入历程PID命名的互斥锁来制止重复注入。
熏染内陆、可移动和远程共享驱动器上不受珍爱的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被熏染程序启动时执行病毒功效。
在内陆、可移动和远程共享驱动器根目录下建立autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续流传熏染病毒。
建立驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”,该驱动程序用来阻止对各种平安软件供应商网站的接见。
构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。
获取内置的下载URL列表。
获取计时器转换成字符,并以“?%x=%d”花样拼接在URL的末尾。
现在URL使用的活跃域名如下:
tudorbuildersfl.com
energy-guru.com
acostaphoto.com
ptcgic.com
cikmayedekparca.com
brucegarrod.com
cbbasimevi.com
brandaoematos.com.br
caglarteknik.com
bharatisangli.in
cacs.org.br
butacm.go.ro
boyabateml.k12.tr
casbygroup.com
iqhouse.kiev.ua
从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。
剪切板大盗
熏染型病毒Sality最终下载的是针对剪切板中的数字加密钱币钱包地址举行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。
通过剪切板内容中的字符花样特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并举行转账操作,数字资产便落入黑客的口袋。
凭据监测数据,Sality下载的偷取数字加密钱币木马每一个月替换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计偷取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。
三、平安建议
防御重点:使用腾讯电脑管家或腾讯御点防御熏染型病毒的流传。
个人用户应制止从危险网站下载高风险软件,如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功效,防止熏染型病毒通过U盘流传。
企业用户应增强内网共享文件的治理,可通过设置企业平安计谋来降低风险。详细防范措施如下:
1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的毗邻。若是不需要写接见权限,在可用选项下启用只读模式。
2、若是不需要使用文件共享,则用户应关闭文件共享。若是需要文件共享,则用户应使用ACL和密码珍爱来限制接见。
3、确保盘算机的程序和用户使用完成任务所需的最低权限。当提醒输入root或UAC密码时,需确保要求治理级接见的程序是正当应用程序;
4、接纳高强度的密码,制止使用弱口令密码,并定期替换密码。建议服务器密码使用高强度且无规律密码,而且强制要求每个服务器使用差别密码治理;
5、实时安装系统补丁,尤其是在承载公共服务且可通过防火墙接见的盘算机上,例如HTTP,FTP,邮件和DNS服务;
20多款游戏外挂传播主页劫持木马,影响超10万台电脑
6、建议企业用户安装部署腾讯御点终端平安治理系统防御病毒攻击。腾讯御点终端平安治理系统具备终端杀毒统一管控、修复破绽统一管控,以及计谋管控等全方位的平安治理功效,可辅助企业治理者周全领会、治理企业内网平安状态、珍爱企业平安。企业可登录腾讯平安主页申请免费试用(https://s.tencent.com/product/yd/index.html)。
IOCs
Sality
f90e3875bb0bb255b1f4aee5e32609be
f76632ca9119490381be2c80dd705b29
f4749b0542f22db4a15ea9116e3d4158
Clipboardstealer
b013271b23de42de21ad813266b5155b
bce9b8ce30eb68f2661c21d979c16270
72392e93001dba2c3bc761eac28fd0c5
72392e93001dba2c3bc761eac28fd0c5
e0ff8d9617cdbc1284ccb906d93f774e
508d177fb70362076a564d0e3486de2a
abbf96e689413786673a6c18d3602edc
1964b13bbaa11b68b28cd0e81e6c51d2
5633e7a29466dad62d682c795e839dad
c7a52a04577263e9f76d48f4ce2aace0
d8b867e7802cbd34c672217a51aeca46
Domain
tudorbuildersfl.com
energy-guru.com
acostaphoto.com
ptcgic.com
cikmayedekparca.com
brucegarrod.com
cbbasimevi.com
brandaoematos.com.br
caglarteknik.com
bharatisangli.in
cacs.org.br
butacm.go.ro
boyabateml.k12.tr
casbygroup.com
iqhouse.kiev.ua
URL
http[:]//tudorbuildersfl.com/wp-content/logo.gif
http[:]//energy-guru.com/blog/styles.gif
http[:]//acostaphoto.com/wp-content/styles.gif
http[:]//ptcgic.com/wp-content/logo.gif
http[:]//cikmayedekparca.com/images/logos.gif
http[:]//brucegarrod.com/images/logos.gif
http[:]//cbbasimevi.com/images/logos.gif
http[:]//brandaoematos.com.br/images/logoi.gif
http[:]//caglarteknik.com/logos.gif
http[:]//bharatisangli.in/logoi.gif
http[:]//cacs.org.br/novosite/logos.gif
http[:]//butacm.go.ro/logos.gif
http[:]//boyabateml.k12.tr/images/logos.gif
http[:]//casbygroup.com/images/logos.gif
http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif
BTC钱包
13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA
13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft
13wJMZru75JRy8FdGby3LJsELKCsd5MRRf
3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ
3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM
3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC
1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH
1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH
1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4
1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ
1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm
1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS
1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71
14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm
1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A
18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N
3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S
19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5
32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9
12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2
1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8
1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc
32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng
13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr
13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh
3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp
18ihjyRYde3ToUys9rCebRbeTDcpkAehq6
3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ
ETH钱包
3D15c7341BBD7cCc193769de903ea711a2e4b43e
参考链接:
https://www.symantec.com/security-center/writeup/2006-011714-3948-99
“劲爆新闻、漂亮小姐姐”原是远控木马,中毒电脑沦为“老虎”矿工