人流价格一般多少人流价格一般多少 治疗妇科病最好医院治疗妇科病最好医院

解密新晋信息窃取木马Spymel

来源:互联网
更新时间:2016/12/9 11:10:36
责任编辑:鲁晓倩
字体:

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

木马简介

感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。

研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="解密新晋信息窃取木马Spymel" src="http://img.xue163.com/s1images51cto/wyfs02/M01/79/95/wKioL1aVtU7A29ZDAAJUsANfLC0832.jpg" width="409" height="317" />

图一 硬编码的URL的屏幕截图

分析过程

已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后,出现了新变种,该变种使用了SBO INVEST的另一个已撤销的证书。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="解密新晋信息窃取木马Spymel" src="http://img.xue163.com/s1images51cto/wyfs02/M01/79/97/wKiom1aVtR3CQRvPAAFDMVqpoTc747.jpg" width="327" height="395" />

图二 Spymel使用的证书

Spymel的有效载荷散列值:

4E86F05B4F533DD216540A98591FFAC2

2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平台上以“svchost.exe”或“Startup32.1.exe”形式存在:

WinXP

%Application Data%\ProgramFiles(32.1)\svchost.exe

%User%\Start Menu\Programs\Startup\Startup32.1.exe

Win7

%AppData%\Roaming\ProgramFiles(32.1)\svchost.exe

%AppData%\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Startup32.1.exe

Spymel安装后会创建以下注册表,以保证其可以持续感染:

WinXP

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run @ Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run @ Sidebar(32.1)

Win7

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run Sidebar(32.1)

Spymel的配置数据包括Command & Control服务器和File & Registry信息,这些信息都硬编码在可执行安装包中,如图三:

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 450px; height: 183px" border="0" alt="解密新晋信息窃取木马Spymel" src="http://img.xue163.com/s3images51cto/wyfs02/M01/79/95/wKioL1aVtU6D4xyEAAKaWi9B2dc880.jpg" width="640" height="253" />

图三 Spymel的配置数据

分析发现,该安装包中存在以下模块:

1、Keylogging模块

该模块将用户的键盘信息记录在日志文件中(位置:%Application Data%\ProgramFiles(32.1)\svchost.exe.tmp)。图四为该模块对应的类“kyl”:

www.xue163.com true /5/59661.html report 4490 解密新晋信息窃取木马Spymel,近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。木马简介感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压...
最近关注
首页推荐
热门图片
相关文章:
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技