欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

点击诈骗的罪魁祸首:技术剖析Zero Access木马

来源:本站整理 作者:佚名 时间:2015-04-17 TAG: 我要投稿

 

FreeBuf百科:Zero Access Rootkit、木马

‍Zero Access Rootkit,它也被叫做恶意软件Smiscar或Max++ rootkit,Crimeware。它在世界范围内已经影响到数百万台计算机,它是造成网络点击诈骗方式的罪魁祸首之一。一旦木马进入用户系统中,他就开始下载各种不同类型的病毒。‍

该木马主要是通过垃圾邮件以及利用工具进行传播,同时它也能够通过P2P分布式文件共享服务进行传播。这个木马的独特之处在于,其连接到一个P2P僵尸网络链之中,这使得拆除整个僵尸网络难度增高。

Zero Access使用先进的隐身机制,在几种杀毒软件下它有能力隐藏自身躲避被查杀的命运,并且它依附于系统文件中所以很难查明。目前还没有证据表明它会泄漏用户数据。通常可执行文件会驻留在%TEMP%目录。

Zero Access一旦进入系统便可执行各种各样的命令,包括:

1.使用受感染的电脑进行点击欺诈和比特币挖掘 2.下载其他类型的病毒对系统进行感染 3.依附在系统中,隐藏自己不被查杀 4.提取受害者信息,包括名称、主机名、计算机名称、账户名称等等 

木马分析

Zero Access木马可以在kernelinfo.com进行下载。

在所有的分析中,第一步是隔离受影响的系统。在这之后,便是对整个系统进行恶意软件扫描。初看一眼,没有什么有价值的东西,进一步分析后在%TEMP%目录下发现受感染的文件。同时在%SYSTEM%目录下也发现了一个可疑文件,该文件是一个拥有ACL权限保护的配置文件。

提取文件并在沙盒中运行,确认网络指针。最终结果表明该文件属于Zero Access的一个组件。

这个文件的名称为fvshis.sav,文件内容进行了加密。

从内存中提取可执行文件中的字符串以及发现的几个构件,证实这是一个32位版本的Max++ dropper病毒组件。

‍接下来分析木马的dropper组件,咋眼一看这程序竟然没有壳?

然而,在使用一个复杂的自定义脱壳工具还是发现了它的保护壳。同时发现可执行文件还有一个复杂的反汇编机制,这使得我们的分析变得更加有挑战咯。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载