黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

2022年03月28日 02:03:00

黑客很枯燥,某软件广告弹窗模块熏染Sality病毒,影响5万用户


DT下载器木马感染2万台电脑,中招后频繁弹广告、主页被锁

【文章摘要】 腾讯平安威胁情报中央检测到2020年3月16日某软件下载的广告弹窗模块被Sality病毒熏染,影响近5万用户。Sality是对照古老的熏染型病毒,可熏染EXE等可执行文件,熏染后从指定的控制端下载恶意程序执行。由于该软件供应链治理不严酷,导致功能模块被病毒熏染后通过自身广告系统流传,造成较大影响。

腾讯平安威胁情报中央检测到2020316日某软件下载的广告弹窗模块被Sality病毒熏染,影响近5万用户。Sality是对照古老的熏染型病毒,可熏染EXE等可执行文件,熏染后从指定的控制端下载恶意程序执行。由于该软件供应链治理不严酷,导致功能模块被病毒熏染后通过自身广告系统流传,造成较大影响。

熏染病毒的广告历程下载地址及文件路径:


腾讯电脑管家可以阻挡查杀


广告运行窗口:


Sality病毒是对照老旧的病毒,其主要特点包罗:

l 病毒会通过修改注册表隐藏文件为不能见,同时关闭平安中央提醒;

l 关闭UAC,将病毒程序添加到防火墙的允许通过列表;

l 通过修改注册表禁用平安模式,防止操作职员通过平安模式消灭病毒;

l 病毒会阻挡平安软件的更新;

l 病毒会在各磁盘根目的建立Autorun.inf,在用户双击磁盘图标时,自动运行恶意程序;

l 熏染EXESCR文件;

l 病毒会向控制端发送数据,可能造成敏感信息泄露。

样本剖析

被熏染的广告程序运行后,会跳转到恶意代码入口,在内存中申请一段空间,将Sality病毒程序解密脱壳,然后加载PE到该内存空间执行。



样本首先通过修改注册表设置隐藏文件为不能见,同时关闭系统平安中央提醒。



关闭用户帐户控制(UAC)提醒与通知,将病毒程序添加到防火墙允许通过列表。



在注册表HKEY_CURRENT_USER\Software\Qllpn\-869477655下纪录并更新可供毗邻的控制端链接地址。



修改注册表键值来禁用平安模式,使操作职员无法启动电脑到平安模式来消灭病毒。


8

加载驱动C:\Windows\system32\drivers\ipfltdrv.sys并以服务形式启动,该驱动用来举行流量包过滤,若流量包中含有平安厂商的链接,则抛弃该流量包,从而使系统无法获得实时的平安软件更新。



建立名为amsint32的服务,该服务启动的文件为样本释放在C:\Windows\System32\drivers\文件夹中的随机名sys驱动文件,文件md5: bf31a8d79f704f488e3dbcb6eea3b3e3



遍历历程,对于用户不属于systemlocalservicenetworkservice的历程,执行远程线程注入。



在磁盘根目录下建立autorun.inf文件,若用户双击磁盘图标进入磁盘驱动器,则会自动执行该文件中的代码,当前执行的是kqyy.pif

小心魔域私服客户端捆绑传播远控木马和挖矿木马





从服务器下载恶意程序,解密后建立历程来执行该文件。



遍历文件,对后缀为.EXE.SCR的文件举行熏染。


15

绑定端口4098吸收从控制端发送的数据。



向控制端发送数据,可能造成敏感信息泄露。


平安建议

1. 互联网企业对开发环境,公布流程举行严酷的平安控制和检查,制止被攻击成为病毒的流传通道。

2. 建议用户安装腾讯电脑管家,并保持电脑管家处于实时开启状态。



3. 推荐企业用户部署腾讯平安T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为举行检测。

腾讯平安T-Sec高级威胁检测系统,是基于腾讯平安能力、依托腾讯在云和端的海量数据,研发出的怪异威胁情报和恶意检测模子系统,该系统可实时有用检测黑客对企业网络的种种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta


IOCs

Md5

熏染Sality的广告历程TPopPlus.exe

c7947ff9a4b6cc66380da2a5656a1ef5

06c5170a5e9d15372afb2493b5d3693a

Sality病毒焦点程序

baeb9897f3bd8d7c1e698e85548b3841

bf31a8d79f704f488e3dbcb6eea3b3e3

URL

http[:]//padrup.com.ds/sobaka1.gif

http[:]//paaaaad.fd.fd/sobakavolos.gif

http[:]//www.klkjwre9fqwieluoi.info/

http[:]//kukutrustnet777888.info

http[:]//89.119.67.154/testo5/

http[:]//kukutrustnet777.info/home.gif

http[:]//kukutrustnet888.info/home.gif

http[:]//kukutrustnet987.info/home.gif

参考链接:

https://www.freebuf.com/column/206442.html

连续41次通过VB100认证,腾讯安全技术实力再获国际权威认可


标签:黑客接单 

作者:访客 , 分类:黑客服务 , 浏览:994 , 评论:1

  • 评论列表:
  •  孤央邶谌
     发布于 2022-05-29 16:59:49  回复该评论
  • OCs Md5 熏染Sality的广告历程TPopPlus.exe c7947ff9a4b6cc66380da2a5656a1ef5 06c5170a5e9d15372afb2493b5d3693a Sality病毒焦点程序 baeb9897f3bd8d7c1e6

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.