安基网 首页 资讯 安全报 查看内容

AutoIt木马:键盘记录木马分析

2014-9-25 09:13| 投稿:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,一种新型木马被发现,该恶意软件到目前为止已经感染了数十万计算机,而且感染是世界范围的。据称,其主要窃取被感染者的社交网络账户信息和银行账户的登录凭证。本文是关于这个木马进行的一次分析。几天以前,...
近日,一种新型木马被发现,该恶意软件到目前为止已经感染了数十万计算机,而且感染是世界范围的。据称,其主要窃取被感染者的社交网络账户信息和银行账户的登录凭证。本文是关于这个木马进行的一次分析。几天以前,一份Goolge的500万账户密码列表泄露了。Google工程师出面澄清说:该列表并非是在Google的系统或者某一分支下泄露的,主要泄露途径来自于钓鱼活动和一些并没有获取到授权的方式(注:也有人猜测是大批量的撞库活动),而Google本身是足够安全的。而这几天,我们又发现了一起类似于Google事件的网络犯罪活动,而这款恶意软件已经感染了数十万的计算机,并且已经窃取了他们的社交媒体社交网络账户以及银行账户访问凭证。关于木马样本,大体看了一下,居然也是一个AutoIt解释器木马,当时我就惊呆了呀,最近还真是AutoIt木马爆发季啊,都可以拍一部《变形记》了(关于另一篇AutoIt解释器木马文章:http://www.freebuf.com/articles/system/44463.html)只是这个木马是通过Email钓鱼传播,而这个百足之虫则是通过游戏平台来传播的。鉴于两个木马同根同源,那我们就略略分析一下,看一下这个木马是怎么做的。(木马样本我会在文末给出,有兴趣的同学可以下载看一下)0×01初见美铝——木马样本大体分析了一下,发现木马文件是一个winrarSFX文件(winrar自解压格式),这里不仔细看还真看不出来,因为这里木马的图标换成了别的样子然后,我们使用winrar打开:0×02 尾随跟踪——文件大略分析里面一共包含四个文件,释放之后是保存在%USERPROFILE%\zvf382a42256\的,而且具有系统和隐藏的属性,解压之后如果看不到文件记得打开查看隐藏文件。其中唯一一个可执行文件是update.exe,这里,解压之后,很明显是一个AutoIt的脚本解释器,看图标就可以看出来了。不多说。这样看来剩下三个文件一定有个au3或者a3x文件,我们接下来找找:接下来引起我们注意的是最上面这个PBS文件,大小有331MB(看过上一篇文章的应该对这个不会陌生),其实这个文件是一个经过混淆的文件,这里我们贴出反混淆的python代码,以供各位研究(代码出自一位希腊研究员,让我们向他致敬!)(小编:我贴出代码就是为了赚稿费的!可是发钱的人在哪里→_→)import sys, os import sys, os def progress(n, total): sys.stdout.write(" [+] Cleaned: %d%%" % (n*100/total)) sys.stdout.flush() def remove_from_list(string_to_remove, list): while True: try: list.remove(string_to_remove) # print ".", except: # print "done" break def clean_from_dummystring_newlines(dummyfilename, newfilename): f = open(dummyfilename) with f as lines: content = lines.readlines() f.close() for mem in content: string_to_remove  = mem print " [+] dummy string to be removed, seems to be: "+string_to_remove break if content.count(string_to_remove) > 10: # print "String to be removed, seems to be: \""+string_to_remove+"\"" remove_from_list(string_to_remove, content) if content.count('  ') > 5: print "[+] Removing \" \ \"" remove_from_list("  ", content) f = open(newfilename, 'wb') f.write(''.join(content)) f.close() info = os.stat(sys.argv[1])# get file size filesz = info.st_size f = open(sys.argv[1], 'rb')#.. now open file to read l = open(sys.argv[2], 'wb') b  nbsp 木马 文件 remove string content 账户 解释器 一下 一个

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
澳博彩票计划群 极速赛车是谁开的 上海11选5走势 彩盈彩票计划群 极速赛车有什么规律吗 极速赛车走势规律怎么看 极速赛车登陆 极速赛车登陆 凤凰娱乐彩票计划群 山东11选5计划