欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TrickBot金融木马病毒Dropper研究

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

歹意软件在运转的过程当中将连续与C&C服务器树立链接,直到有新的数据必要它去下载。一旦新文件被下载,它们将被放置在winapp目次的modules文件夹中,如下图所示。

也许30分钟以后,多个其余模块被下载到Modules目次,如下图所示。

颠末咱们的的研讨发明,在咱们的会话中下载到的一切数据彷佛都以某种方法被加密或许混杂了,今朝尚不清楚木马法式中的哪些例程被加密或许混杂处置了,然则有一种办法能够测验考试一下,那便是他们应当能够或许在未加壳版本的木马软件中找到。
若何检测该木马软件?
由于该木马软件在完成上并无应用甚么“高超”的伎俩,是以一些主流的防病毒扫描法式平日都能够或许将初始文档(DOC00039217.doc)作为剧本下载器而检测到。第二阶段的加壳文件也能够或许被一些主流的反病毒法式作为通用木马下载法式检测到。并且,Symantec公司的平安研讨人员也对该银行木马停止了阐发,并将该银行木马软件标识为Trojan.Trickybot歹意软件,该公司平安研讨人员宣布的无关该银行木马软件阐发的技巧细节彷佛与本文档中的阐发类似。
纵然应用恰当的BLUECOAT装备来反省HTTPS中的流量,然则GET哀求字符串中的可变长度参数会使寄托流量中的特性来检测该银行木马软件变得轻微有些艰苦,是以最好的减缓战略是间接阻断与该银行木马软件相干的的C&C服务器的IP地点列表,最好的做法是不启用那些陌生人发来的无奈验证的Word文档中的任何宏。
论断
本文对一款银行木马软件的Dropper法式停止了阐发,该Dropper是一个启用了宏的文档,能够下载并履行PECompact2加壳的木马法式。为了扩大其功效,歹意软件彷佛有多个模块能够在受害者的机械高低载并履行法式。
后续更新
颠末咱们进一步的查询拜访发明,DOC00039217.doc文件是TrickBot银行木马软件收集进击运动中的一部分,被称为Dyreza的继任者。这是一个多级木马,能够或许向受害者的机械下载多个模块,以停止凭证盗取,银行讹诈,电子邮件挟制等操纵。概况请参阅MalwareBytes和FidelisSecurity两人宣布的无关该银行木马软件的深刻研究文章。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载