-
魔兽游戏"木马的密码发送方式
分析并清除大陆魔兽木马病毒 如果您的系统不小心感染了某款木马病毒,且不幸的是游戏账号密码或QQ密码已经被他人盗取。那么,在找出病毒的同时,如何从病毒中找到“种马者”的“联系信息”呢?如果运气好的话,不仅可以找回丢失的东西,更可以将这些信息交给网络警察作为举证! 测试对象与目的 测试对象 大陆魔兽木马生成器 测试目的 跟踪分析所生成的木马的感染系统过程及密码发送方式 测试说明 我以测试为目的利用“木马生成器”生成一个木马程序,邮箱及密码是虚拟的!目的是通过跟踪找出木马内部的有效信息。 病毒行为分析 激活后的文件生成 病毒激活后,会生成以下两个文件: svchsot.exe:与正常程序svchost.exe相似但不同。 locarxjh.sls:DLL文件。 前者采用加壳技术,使用PEID侦察会导致内存访问异常错误而无法探测。建议使用OD(OllyDbg)进行手工脱壳。 注册表写入 病毒首先将自己复制到 %systemRoot%\system32 目录下并命名为 svchsot.exe,然后多次写入注册表项以实现启动时自动加载,例如: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\S-1-5-21-515967899-162531612-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load 关键代码片段 以下是部分关键代码片段: 复制自身到系统目录 "load"="D:\\WINDOWS\\System32\\svchsot.exe" push esi push 104 push eax call dword ptr ds:[<&KERNEL32.GetSystemDirectoryA>] lea ecx,dword ptr ss:[esp+8] push locarxjh.1000C1CC ; ASCII "\svchsot.exe" push ecx...
-
反病毒分析入门指南
反病毒分析入门指南 工欲善其事,必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。 硬件准备 条件允许的情况下,建议配置如下硬件: 双网络线路:两条不同网络运营商提供的线路,确保在分析过程中不会因为网络问题影响结果。 多台电脑:至少2台或以上电脑,具体配置可根据个人需求选择。虽然虚拟机也可以用于部分测试,但某些恶意代码具有虚拟机检测机制,因此尽可能使用物理机进行分析。 必备软件 基础操作系统 Windows XP:尽管较老,但在轻便性和资源占用方面有优势。对于某些特定场景下的兼容性测试也非常有用。 核心分析工具 IDA Pro:反汇编工具中的佼佼者,功能强大且广泛应用于反病毒行业。Hex-rays的反编译插件非常强大,但由于价格昂贵,通常不购买。不过,通过手动分析也能达到很好的效果。 OllyDbg:动态调试工具,虽然是行业必备,但在实际工作中更多依赖于IDA的静态分析能力。 WinDbg:主要用于驱动程序的调试,同样属于行业必备工具。大多数情况下,直接使用IDA进行静态分析即可满足需求。 Wireshark:数据包捕获和分析工具,对于需要在网络层面进行深入分析时不可或缺。 辅助工具 以下是一些个人偏好的辅助工具,并非必需: 010 Editor:强大的十六进制编辑器,适用于精细的数据操作。 DeDe:一款专门针对PE文件的逆向工程工具。 Ghost:系统备份与恢复工具。 Hiew:另一款十六进制编辑器,具备一定的脚本支持。 LordPE:用于处理PE文件的小工具。 WinHex:高级十六进制编辑器,适合更复杂的文件操作。 监测工具 为了减少被恶意代码欺骗的可能性,尽量自己编写监测工具。如果无法实现,选择不太知名的工具也是不错的选择: 系统变化监测 API监测 Rootkit监测 测试环境搭建 为了模拟真实的用户环境,还需要安装以下软件: 各类服务器软件(如HTTP, SMTP, FTP, IRC等) 即时通讯软件(如QQ、MSN、YAHOO等) Microsoft Office(各个版本的安装文件) Adobe Acrobat Reader(各个版本的安装文件) Adobe Flash Player(各个版本的安装文件) 恶意代码样本的基本分析流程 以下是恶意代码样本的基本分析流程(不包含特征码提取): 恢复系统镜像:避免在已感染的环境下被其他信息误导。 快速查看是否有可疑字符串:初步判断恶意代码的行为。 检查代码入口地址是否有被感染痕迹:确认是否已被篡改。...
-
利用图片标签窃取信息
利用图片标签窃取信息 MageCart恶意软件的新伎俩:窃取信用卡信息 概述 网络安全研究人员近期发现了一种窃取信用卡信息的恶意软件活动,该活动主要针对运行Magento的电商网站。为了逃避检测,攻击者将恶意内容隐藏在HTML代码的图片标签中。 MageCart简介 MageCart是一种专门从在线购物网站窃取敏感支付信息的恶意软件。此类攻击通常会利用客户端或服务器端的技术手段,通过植入信用卡信息窃取程序来实施盗窃。通常情况下,这种恶意软件会在用户访问结账页面输入信用卡信息时被触发或加载,要么通过展示虚假表单,要么实时捕获受害者输入的信息。 “MageCart”这一名称来源于这些网络犯罪组织的原始目标——为在线零售商提供结账和购物车功能的Magento平台。多年来,此类攻击活动通过编码和混淆技术,将恶意代码隐藏在看似无害的资源中,如假图片、音频文件、网站图标,甚至是404错误页面。 利用Onerror事件执行恶意代码 Sucuri研究员Kayleigh Martin表示:“在这种情况下,影响客户端的恶意软件的目标同样是保持隐蔽。它通过将恶意内容隐藏在HTML的<img>标签中来达到这一目的,使其容易被忽略。” 与普通的<img>标签不同,此次攻击中的<img>标签充当了诱饵,其中包含指向JavaScript代码的Base64编码内容。当检测到onerror事件时,该代码就会被激活。这种攻击方式更加隐蔽,因为浏览器默认信任onerror函数。 Martin解释说:“如果图片加载失败,onerror函数会触发浏览器显示一个破损的图片图标。然而,在此次攻击中,onerror事件被劫持以执行JavaScript代码,而不仅仅是处理错误。” 此外,攻击者还利用了<img> HTML元素的“无害性”来增加攻击的成功率。恶意软件会检查用户是否处于结账页面,并等待毫无戒备的用户点击提交按钮,从而将他们输入的敏感支付信息窃取到外部服务器。 恶意脚本的设计目的 恶意脚本的设计目的是动态插入一个包含三个字段(卡号、有效期和CVV)的恶意表单,并将窃取的信息发送到wellfacing[.]com。 Martin补充道:“攻击者通过这个恶意脚本实现了两个令人印象深刻的目标:一是将恶意脚本编码到<img>标签中以规避安全扫描器的检测,二是确保最终用户在恶意表单被插入时不会注意到异常变化,从而尽可能长时间地保持隐蔽。” 针对电商平台的持久性攻击 针对Magento、WooCommerce、PrestaShop等平台的攻击者,其目标是尽可能长时间地不被发现。他们注入网站的恶意软件通常比影响其他网站的常见恶意软件更为复杂。 与此同时,网络安全公司还详细披露了一起涉及WordPress网站的事件。攻击者利用mu-plugins(或必用插件)目录植入后门,并以隐蔽方式执行恶意PHP代码。 Puja Srivastava指出:“与常规插件不同,必用插件在每次页面加载时都会自动加载,无需激活或出现在标准的插件列表中。攻击者利用此目录来保持持久性并规避检测,因为放置在此处的文件会自动执行,并且无法通过WordPress管理面板轻易禁用。”