查看: 1802|回复: 4
收起左侧

[技术原创] Sality感染蠕虫复活来袭,传播“剪切板幽灵”病毒窃取比特币

[复制链接]
金山毒霸V11
发表于 2019-3-19 14:11:30 | 显示全部楼层 |阅读模式
本帖最后由 金山毒霸V11 于 2019-3-19 14:17 编辑

一、事件背景
近期,金山毒霸安全实验室“捕风”系统捕获到一批异常活跃的样本,该样本会监控剪切板,将比特币和以太坊的钱包地址,替换成自己的钱包地址。这样,用户复制粘贴钱包地址进行转账时,虚拟货币最终会转帐到攻击者的钱包中。通过对该病毒进行溯源分析,最终发现是由Sality感染型病毒进行传播感染。此类“剪切板幽灵”病毒在2018年初就曾被监控到大量传播行为,时隔一年再次卷土重来。
Sality病毒家族最早于2003年被发现,该病毒融入多态加密引擎,运行后会尝试感染用户系统中大部分可执行程序,并通过感染U盘、网络共享进一步扩展传播,受感染系统将被进一步用于传播垃圾邮件、代{过}{滤}理跳板、隐私窃取、分布式攻击等。随着十几年的发展,该病毒家族不断加入Rootkit对抗、P2P网络控制等新特性,成为当下最流行、最复杂、最顽固的感染型蠕虫之一,预计全球范围内累计感染用户超过千万级别。

二、流程分析

对于Sality病毒的感染过程本文不再赘述,以下主要分析感染以后,病毒通过P2P网络获取恶意插件URL数据,下载安装比特币剪切板劫持木马。以下为抓包发现的剪切板劫持木马下载行为:

通过分析被Sality病毒感染进程中注入的恶意模块dump , 也可以发现挂马地址和抓包地址一致。

以上数据解密落地后的PE文件(MD5:68b6a3a936b256510a1af099082355a5),就是钱包地址劫持木马,采用UPX压缩,病毒行为非常简单,执行以后循环读取系统剪贴板的内存数据,进行比特币地址格式校验,替换为自身硬编的比特币地址,用户转账过程中一旦疏于检查就会被盗取比特币和以太坊等虚拟货币:

捕获的在野样本中,我们发现攻击者有多个BTC钱包地址和ETH钱包地址,部分钱包地址收益情况如下:
  
钱包地址
  
共收入
折合人民币
15Wm3Xy2wLWboyCgH4G9cNhgr5xD7z11QA
0.00206297 BTC
53.86
13wG8KRQx1tpCkCBWRyYrdqfuaCUcagvmq
0.16267025 BTC
4248.13
19QmbQGK8srwjJ8bLm2iZj9qfMP5EZqHcx
0.29304165 BTC
7652.78
0x3D15c7341BBD7cCc193769de903ea711a2e4b43e
0.00090811 ETH
0.82

三、IOCS
  
挂马域名
  
状态
elcisigur.ro
404
funwebstrankaaqworlds.wz.cz
404
gdergi.com
404
bamas.planet-it.co.id
404
batata.webzdarma.cz
404
ilmesters.edu.pk
404
acbilgisayar.com.tr
alive
sgw.co.th
alive
www.figg.co.za
alive
server2.hainhan.com
alive
moulitech.com
alive

MD5:
55bfee3915ae84f38fda750587868ae7
68b6a3a936b256510a1af099082355a5
47b6cf018dabd9002b1024422061c137

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
mp2mp2
发表于 2019-3-19 15:48:55 | 显示全部楼层
本帖最后由 mp2mp2 于 2019-3-19 15:55 编辑

https://reports.adguard.com/zh_cn/chuantu.biz/report.html
这个通知是上卡饭时,没有点其它网页,Adguard软件报的一个通知

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bambooslip
发表于 2019-3-19 21:29:15 | 显示全部楼层
至少证明毒霸还活着挺好的。
利刀1937
发表于 2019-3-19 21:55:48 | 显示全部楼层
还活着呢
MelissaBenoist
发表于 2019-3-20 16:53:55 | 显示全部楼层
这毒一旦发作可是贼麻烦的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:59 , Processed in 0.133974 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表