查看: 1925|回复: 9
收起左侧

[技术原创] 【安全资讯】潜伏已久,集百毒之长:“U盘魅影”木马爆发

[复制链接]
360主动防御
发表于 2018-11-28 17:57:49 | 显示全部楼层 |阅读模式


360安全大脑近期拦截到一批恶性病毒,该病毒集蠕虫,勒索,剪切板幽灵等诸多病毒功能于一体,扩散速度极快,对用户机器的破坏程度极高。通过360威胁情报系统观测,该病毒在2017年就已潜伏在用户电脑上,并于近期爆发,因其通过可移动设备传播的方式和复杂的病毒功能,我们将其命名为“U盘魅影”。


“U盘魅影”最先是由下载器进行传播,感染用户机器后会禁用安全软件的实时防护,访问保护,主动防御等功能。并通过添加防火墙信任列表的方式绕过防火墙检测。携带的蠕虫模块会将病毒传播到可移动设备,网络驱动器,共享文件夹和一些常见的默认网站目录下,这种传播方式会使病毒在内网中迅速扩散。


该病毒还携带了我们在2018年6月份披露的“剪切板幽灵”木马,窃取比特币,以太坊在内的十余种虚拟货币。

除此之外,“U盘魅影”还会下载并执行其他的病毒模块,我们在其下载的诸多病毒模块中检测到最新版本(5.0.4)的GandCrab勒索病毒。

整体流程,如下图所示:

  详细分析:

  360安全大脑检测到“U盘魅影”病毒最初是由下载器进行传播,当用户运行下图所示的下载器之后就会释放出该病毒:

  病毒在运行后会检测虚拟环境,如果有以下进程正在运行则不会执行后续的病毒逻辑:

  注册为自启动:

  禁用杀毒软件,关闭实时防护,访问保护,主动防护,系统还原等功能,并将病毒添加到防火墙放过列表中,以此来绕过防火墙检测:

  之后创建四个线程,执行后续感染,盗取虚拟货币,下载执行其他病毒模块等功能:

   蠕虫模块

   感染可移动设备(例如:软盘驱动器,USB设备或闪存卡读卡器)和远程驱动器(共享文件夹):

   感染系统敏感目录:

  剪切板幽灵

  创建一个线程,每隔200毫秒获取一次剪切板内容:

   过滤剪切板内容,当内容为虚拟货币地址时,则替换为病毒作者的地址,以此来盗取虚拟货币。

  以1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL5为例

  11月12号盗取了用户的一次转账


  下载执行其他病毒模块

“U盘魅影”会通过C&C服务器下载其他的病毒模块并执行,代码逻辑,如下图所示:

  该病毒下载的病毒模块繁多,病毒作者也在持续的更新病毒模块,下图是一个被病毒感染的Temp目录:

  我们在其下载的诸多模块中检测到了GandCrab勒索病毒(5.0.4版本),勒索病毒运行后会加密用户数据,并将桌面壁纸篡改为如下图所示的勒索提示信息:

  有关GandCrab勒索病毒,请参考我们之前的分析报告,此处不再赘述。

  安全建议

  下载器和破解软件是近几年病毒传播的主要途径,而部分下载站所提供的软件其安全性无法得到保障。360软件管家是360安全卫士提供的一款集下载、安装、升级、卸载、购买软件的管理工具,软件库中收录万款正版软件,均经过360安全大脑白名单检测,建议广大用户使用360软件管家安装软件。

  像“U盘魅影”这种综合电脑病毒的出现在近几年呈上升态势,针对日益严峻的网络安全问题,搭载了“安全大脑”的360安全卫士,利用人工智能技术使安全软件做到了“自主学习”“预警感知”“全面防护”,可率先实现对此类病毒的查杀。用户在面对电脑问题,或是电脑遭到病毒袭击时可以下载360安全卫士为电脑解围。已经开始使用的用户可以通过保持安全卫士的时常开启来确保电脑的安全。

下载360安全卫士

  IoCs:


屋里头
发表于 2018-11-28 22:19:33 | 显示全部楼层
360安全大脑   那请问卫士12这个重炉改造的版本 什么时候发布呢,  是不是准备跟360杀毒6.0组团一起灭绝了呢
兔子大大
头像被屏蔽
发表于 2018-11-29 09:06:54 | 显示全部楼层
屋里头 发表于 2018-11-28 22:19
360安全大脑   那请问卫士12这个重炉改造的版本 什么时候发布呢,  是不是准备跟360杀毒6.0组团一起 ...

你这说话也太难听了,就不能支持一下360吗?官人说了12.0正式版正在优化中,近期发布
午夜菊花男
发表于 2018-11-29 09:21:02 | 显示全部楼层
happycat 发表于 2018-11-29 09:06
你这说话也太难听了,就不能支持一下360吗?官人说了12.0正式版正在优化中,近期发布

我一直奇怪。。。难道12就要做那个无视内测,公测直接正式版发布的独立版本么
360主动防御
 楼主| 发表于 2018-11-29 10:04:54 | 显示全部楼层
屋里头 发表于 2018-11-28 22:19
360安全大脑   那请问卫士12这个重炉改造的版本 什么时候发布呢,  是不是准备跟360杀毒6.0组团一起 ...

您好,卫士12.0正在加急优化测试中,测试通过会在官网同步正式和大家见面,请等待正式版发布即可;
360主动防御
 楼主| 发表于 2018-11-29 10:05:42 | 显示全部楼层
happycat 发表于 2018-11-29 09:06
你这说话也太难听了,就不能支持一下360吗?官人说了12.0正式版正在优化中,近期发布

是的,近日优化完,会尽快上线!
wohaofan1200
发表于 2018-11-29 11:10:00 来自手机 | 显示全部楼层
本帖最后由 wohaofan1200 于 2018-11-29 11:14 编辑

我注意到,最近360卫士查杀界面上的各引擎全网拦截数据统计,以前QVM都是几千,或者几万的拦截量,经常比云引擎差一两个数量级。而最近一两个月突然QVM大发神威,全网拦截数据激增,成了引擎担当。请问是最近QVM引擎优化升级了,或者最近的流行病毒比较合QVM胃口,还是卫士和杀毒数据合并到一块显示了?官人方便透露一下吗?@360主动防御
360主动防御
 楼主| 发表于 2018-11-29 11:48:08 | 显示全部楼层
wohaofan1200 发表于 2018-11-29 11:10
我注意到,最近360卫士查杀界面上的各引擎全网拦截数据统计,以前QVM都是几千,或者几万的拦截量,经常比云 ...

您好,最近是有针对QVM引擎进行多方位优化,所以全网拦截数据统计会有升高。
Jerry.Lin
发表于 2018-12-1 19:47:01 | 显示全部楼层
360主动防御 发表于 2018-11-29 11:48
您好,最近是有针对QVM引擎进行多方位优化,所以全网拦截数据统计会有升高。

……12版本已重新上线

记得你好像答应饭友要详细说说新增改进了什么功能?

评分

参与人数 2人气 +4 收起 理由
飞碟1234 + 3 上任抢红包
pal家族 + 1 大圣,收了你的神通吧

查看全部评分

www-tekeze
发表于 2018-12-1 22:38:11 | 显示全部楼层
360主动防御 发表于 2018-11-29 11:48
您好,最近是有针对QVM引擎进行多方位优化,所以全网拦截数据统计会有升高。

官人,数字的QVM都发展多少年了,但明显比不过智量啊,是不是急了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:01 , Processed in 0.133931 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表