本帖最后由 qqddliu 于 2016-6-24 17:07 编辑
危险的宙斯和Carberp发现self-spreading继任者
2016年6月3日
今年6月,医生Web安全研究人员研究了一个新的危险的病毒瞄准俄罗斯银行客户。病毒是为了偷钱从银行账户和监控用户活动。它借了很多特性从其前任宙斯(Trojan.PWS.Panda)和Carberp。然而,与它们不同,它可以传播感染可执行文件没有任何用户干预。此外,治疗受感染的电脑相当复杂,可能需要几个小时。
由于能力没有任何用户干预传播并感染可执行文件,恶意应用程序,或Trojan.Bolik.1我们将其命名为,归类为一个多态病毒文件。
最危险的特性这银行木马self-spreading和程序感染的能力。网络罪犯self-spreading的功能被激活。然后Trojan.Bolik.1检查open-for-write文件夹在Windows系统可执行文件的存在或连接USB设备,然后感染他们。Trojan.Bolik.1可以妥协的32位或64位应用程序。
Dr.Web反病毒检测程序被这种病毒感染Win32.Bolik.1。每一个这样的程序包含Trojan.Bolik.1以加密形式和其他必要的信息。如果用户运行被感染的程序,病毒解密Trojan.Bolik.1并启动它不保存在计算机的内存磁盘。病毒,有一种特殊的嵌入机制,立即改变代码和结构负责解密程序,尽可能帮助病毒没有被发现。此外,Win32.Bolik.1试图阻碍杀毒程序的操作,可以在一个特殊的模拟器执行恶意应用程序通过实施特定的技术,包括不同的循环和重复指令。
Carberp的继任者,Trojan.Bolik.1借了一个虚拟文件系统的存在,存储在一个特殊的文件,木马保存到系统目录或用户文件夹中。这个文件系统允许其操作所需的秘密存储信息的恶意软件感染的机器。从宙斯,Trojan.Bolik.1注射遗传机制的网络,网络罪犯使用盗取登录和密码访问网上银行应用程序或窃取其他私人信息。Trojan.Bolik.1主要是为了攻击俄罗斯的银行客户。这个事实证明某些配置文件中的行收到C&C服务器。
的主要目的Trojan.Bolik.1是窃取机密信息。木马可以通过以下几种方式执行这个函数。例如,它控制数据通过微软Internet Explorer,Chrome,Opera和Mozilla Firefox窃取信息进入输入表单。此外,恶意软件程序可以把截图和执行键盘记录功能。Trojan.Bolik.1也能够创建自己的代{过}{滤}理服务器和web服务器的文件共享病毒制造者。木马可以找到必要的文件掩码中指定的命令。今天就像其他的银行木马,它还可以建立所谓的反向连接,以提供攻击者和受感染的计算机之间的通信,位于firewall-protected网络或没有外部IP地址,即在NAT(网络地址转换)网络。所有发送和接收的信息是使用一个复杂的加密算法,然后压缩。
功能和结构Trojan.Bolik.1是非常复杂的,这使得它非常危险的Windows用户。Dr.Web反病毒检测并删除其所有组件;然而,固化过程可以花很多时间因为的结构Trojan.Bolik.1有自己的独特的特点。因此,我们建议我们的用户有耐心而Dr.Web扫描你的电脑。
更多关于这个木马
不知道防漏多少。但是没联网动作。
【1】2016-06-24 10:37:58,系统防护,自定义防护,unsecapp.exe触犯自定义注册表防护规则, 已阻止
操作进程:C:\WINDOWS\system32\wbem\unsecapp.exe
触犯规则:●星火●【注册表保护】〖高危、恶意设置〗服务提升权限
操作类型:创建
操作注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
用户操作:已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【2】2016-06-24 10:37:56,系统防护,自定义防护,unsecapp.exe触犯自定义注册表防护规则, 已阻止
操作进程:C:\WINDOWS\system32\wbem\unsecapp.exe
触犯规则:●星火●【注册表保护】〖驱动及服务〗服务相关注册表 安装服务会修改此项
操作类型:创建
操作注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
用户操作:已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【3】2016-06-24 10:37:53,系统防护,自定义防护,svchost.exe触犯自定义文件防护规则, 已阻止
操作进程:C:\WINDOWS\system32\svchost.exe
触犯规则:●星火●【文件保护】〖风险目录〗Dll文件保护
操作类型:读取
操作文件:C:\WINDOWS\system32\mstask.dll
用户操作:已阻止
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
MD hips 拦截
2016-6-24 17:05:29 创建新进程 允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
命令行: "C:\Documents and Settings\Administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]?:\*.*
2016-6-24 17:05:31 向其他进程复制句柄 阻止
进程: c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
目标: c:\windows\system32\svchost.exe
句柄: (Mutant) \BaseNamedObjects\{08376150-6616-3838-6B6E-E8B9A073FEF0}
规则: [应用程序]*
2016-6-24 17:05:31 向其他进程复制句柄 阻止
进程: c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
目标: c:\windows\system32\svchost.exe
句柄: (Event) 0x000000D8
规则: [应用程序]*
2016-6-24 17:05:31 向其他进程复制句柄 阻止
进程: c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
目标: c:\windows\system32\svchost.exe
句柄: (Process) c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
规则: [应用程序]*
2016-6-24 17:05:31 修改其他进程的内存 阻止并结束进程
进程: c:\documents and settings\administrator\桌面\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]◆ 系统优先进程
|
[复制链接]
发表于 2016-6-24 09:49:21
楼主
