哈勃发布八月威胁情报:木马能“变脸”点击要谨慎

发布时间:2016-10-09  

近日,腾讯安全联合实验室之反病毒实验室旗下的哈勃分析系统,发布了《八月威胁情报态势报告——活跃木马篇》(以下简称《报告》)。《报告》显示,八月份恶意程序释放类木马和恶意网络连接类木马活跃比较频繁,且影响范围广泛。其中,CrackWare木马单日活跃度最高时超过3万次。值得注意的是,恶意程序类木马可伪装成当下流行的游戏补丁、软件破解补丁、视频下载器等元素,骗取用户信任,诱导其点击,给用户的网络安全带来极大的威胁。


(哈勃分析系统首页)

木马伪装成系统启动项 诱使用户点击运行

《报告》指出,在八月自动捕获的威胁样本中,CrackWare木马最为活跃,单日捕获峰值超过了3万。


(八月份CrackWare木马活跃图)

《报告》指出,在捕获到的木马样本中,将近58%的文件在版权信息中会使用带有“CracksWare Corporation”字样的文字,该木马释放的大量文件也带有“Crack”等字样,因此被命名为“CrackWare木马”。此外,其它报毒引擎也会使用“reconyc”、“specx”等名称。

哈勃分析系统研究发现,CrackWare木马运行后,会在system32目录下释放一个名为“svchosts.exe”的可执行文件。值得注意的是,该文件名称与系统文件“svchost.exe”只差一个字符,所以易被误认。同时,该木马为了冒充系统启动项,躲避用户怀疑,会在注册表中生成一个名为“SvcHosts32”的启动项,指向之前释放的文件。最终木马会将自身大量复制到system32drivers32目录下,伪装成当下流行的游戏免CD补丁、软件破解补丁、电影下载器等等,且会将原始路径下的木马文件自动删除。用户稍不留心就会被这些名称吸引并打开文件,从而致使木马进一步运行和传播。


(CrackWare木马生成的伪装过的恶意可执行程序)

《报告》还指出,Mira木马在八月份同样较为活跃,日均捕获量在5千左右,该木马和CrackWare木马类似,会在受害者电脑上释放大量的恶意文件。


(八月份Mira木马活跃图)

Mira木马一个很明显的特征是,此类木马的文件属性除了公司版权会使用“Microsoft Corporation”伪装成微软公司的正规文件之外,还会在产品名一项中会将其定名为“Mira Malware”,这也是此木马报毒名称的由来。

哈勃分析系统进一步研究发现,Mira木马运行后,会在Application Data目录下释放一个随机文件名的文件和Mira.h文件,后者虽然是.h的扩展名,但实际上是一个可执行文件。木马为保证用户电脑每次重启之后其都能运行,会将这两个文件设置为隐藏属性,在注册表中生成一个启动项指向第一个文件。该木马为进一步伪装成系统启动项,会将启名称设置成“Microsoft?Windows?Operating System”。

此后,木马将自动运行释放的第一个文件,该文件会遍历C盘根目录下的所有目录和文件,生成与之名称一致的可执行文件,然后再将原始的目录和文件进行隐藏。同时,这些新生成的文件都将使用与系统目录相似的图标。事实上,这是木马隐藏自己的惯用伎俩。用户一旦打开这些目录,极易将这些文件认定为是自己要打开的目录并双击运行,实则无意间助长了木马的传播。

目前,哈勃分系统可精准识别、检测该类木马。


(哈勃分析系统拦截提示)

恶意网络链接木马活跃 七成服务器位于美国

《报告》显示,八月份还出现了另外一种活跃木马——Kryptik木马,该木马以恶意网络链接为主要作恶手段。此木马最高日捕获量达到1.3万次,八月上旬尤为活跃。


(Kryptik木马活跃图)

哈勃分析系统指出,Kryptik木马的行为并不复杂,该木马运行后,会尝试连接一个C&C服务器,通过http协议的方式上传信息及接收指令。值得注意的是,八月份该木马进行了超过35万次联网动态行为。哈勃分析系统研究其联网行为发现,这些网络数据包很多都发往相同的服务器。按照服务器域名去重后,涉及到的域名接近9万个。此外,这些域名基本都为三级域名,域名的第一段内容为随机字符串,并且对应的二级域名中没有流行的动态域名。如果按照二级域名去重, C&C服务器数量只有不到9百个。


(Kryptik木马联网行为统计)

哈勃分析系统进一步发现,Kryptik木马链接的C&C服务器基本都注册在.ru(俄罗斯国家顶级域名)下,通过查询服务器IP后发现,其中超过7成的服务器则位于美国。


(Kryptik木马C&C服务器地域分布)

腾讯反病毒实验室哈勃分析系统建议用户,始终从正规网站或官方网站下载和使用软件,不要轻信小型网站、网盘分享的文件,也不要轻信群、论坛等社交渠道推荐的软件;在搜索各种补丁、序列号生成器、下载器等工具软件的时候要提高警惕,即使是电脑硬盘中已经存在的文件也需要反复检查,避免恶意程序借助这类工具软件的名义进行传播;对于不放心的软件,用户可以使用哈勃分析系统(https://habo.qq.com/)对其进行检测,及时发现风险。此外,用户一定要随时保持腾讯电脑管家等安全类软件处于运行状态。

腾讯电脑管家9月份上线的12.0新版本,在病毒查杀和安全防护方面增强了云主防及Bootclean清除技术、Rootkit通杀、系统急救箱四大安全特性的查杀能力,全方位守护用户电脑安全。


(腾讯电脑管家12.0新版本界面)

责任编辑:mooreelite
文章来源于:半导体行业观察    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>