查看: 1757|回复: 0
收起左侧

[技术原创] “月光(Moonlight)”蠕虫威胁高校网络,中毒电脑被远程控制

[复制链接]
腾讯电脑管家
发表于 2019-10-12 16:11:08 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2019-10-12 16:11 编辑

一、概述
腾讯安全御见威胁情报中心检测“月光(MoonLight)” 蠕虫病毒感染呈上升趋势,该病毒主要危害教育行业病毒会搜集受感染系统的邮件地址,然后伪装成屏幕保护程序文件(.scr)的病毒发送收件人。病毒还会复制自身到启动目录、download/upload目录、共享目录以及移动盘,具有较强的局域网感染能力。病毒会键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络,对指定目标进行DDoS攻击。

在此次攻击中,病毒伪装成以“**课件打印**”命名的文件进行传播,对于老师和学生具有很高的迷惑性,大学新生的防毒意识相对较差,该蠕虫病毒已在教育网络造成较重影响,在9月开学季达到感染峰值


根据腾讯安全御见威胁情报中心统计数据,MoonLight蠕虫病毒攻击行业分布如下,受影响严重的前三位分别为教育、信息技术、科研及技术服务等


地区分布来看,MoonLight蠕虫全国各地均有感染,影响严重省市包括:广东北京、广西、山东、四川等地


二、详细分析
“月光(MoonLight)”蠕虫病毒可通过邮件、文件共享、可移动途径传播,中毒系统会被远程控制、键盘记录以及组成僵尸网络对指定网络目标进行DDoS攻击。
MoonLight蠕虫病毒的攻击流程

持久化攻击
MoonLight运行后首先将自身拷贝至以下位置,包括系统目录、临时文件目录、Run启动项、全局启动目录使用的文件名包括固定名称(EmangEloh.exesmss.exesql.cmdservice.exewinlogon.exe)和随机生成(用<random>表示)两种
C:\Windows\sa-<random>.exe
C:\Windows\Ti<random>ta.exe
C:\Windows\<random>\EmangEloh.exe
C:\Windows\<random>\Ja<random>bLay.com
C:\Windows\<random>\smss.exe
C:\Windows\System32\<random>l.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd
C:\Documents and Settings\<user>\Templates\<random>\service.exe
C:\Documents and Settings\<user>\Templates\<random>\Tux<random>Z.exe
C:\Documents and Settings\<user>\Templates\<random>\winlogon.exe

为了确保在系统启动时自动执行和防止被删除,病毒添加到开机启动项、映像劫持、exe/scr文件关联等位置,具体包括以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <random>="%system%\<random>.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <random>="%WINDOWS%\<random>.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe debugger="%windows%\notepad.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe debugger="%windows%\notepad.exe"
HKEY_CLASSES_ROOT\exefile default="File Folder"
HKEY_CLASSES_ROOT\scrfile default="File Folder"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt=dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile default="File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile default="File Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue=dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup = "%system%\<random>"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell="explorer.exe, "%userprofile%\Templates\<random>\<random>.exe""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell="<random>.exe"

蠕虫式
传播
病毒枚举路径,找到路径中包含以下字符的文件夹:
download
upload
share

找到后,拷贝自身到目录下以感染网络共享文件夹,拷贝后使用以下文件名:
TutoriaL HAcking.exe
Data DosenKu .exe
Love Song .scr
Lagu - Server .scr
THe Best Ungu .scr
Gallery .scr
New mp3 BaraT !! .exe
Windows Vista setup .scr
Titip Folder Jangan DiHapus .exe
Norman virus Control 5.18 .exe
RaHasIA.exe
Data %username%.exe
Foto %username%.exe
New Folder(2).exe
New Folder.exe

病毒还会拷贝自身到移动盘中,病毒自身使用文件夹图标,默认情况下系统不显示文件扩展名,这会让用户误认为文件夹图标而双击打开
%username% Porn.exe
System Volume Infromation  .scr

MoonLight蠕虫还会尝试将自身的副本发送到从受感染系统搜索获取的电子邮件地址。使用自的SMTP邮件引擎猜测收件人电子邮件服务器,并在目标域名前面加上以下字符串:
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns1.
relay.
smtp.

构造包含以下字符串之一的邮件正文:
aku mahasiswa BSI Margonda smt 4
Aku Mencari Wanita yang aku Cintai
dan cara menggunakan email mass
di lampiran ini terdapat curriculum vittae dan foto saya
foto dan data Wanita tsb Thank's
ini adalah cara terakhirku ,di lampiran ini terdapat
NB:Mohon di teruskan kesahabat anda
oh ya aku tahu anda dr milis ilmu komputer
please read again what i have written to you
yah aku sedang membutuhkan pekerjaan

构造包含以下名称之一的邮件附件
curriculum vittae.zip
USE_RAR_To_Extract.ace
file.bz2
thisfile.gz
TITT’S Picture.jar

蠕虫病毒使用Payload下载地址:
http[:]//www.geocities.com/m00nL19ht2006/

主要危害
MoonLight蠕虫病毒会针对指定目标网站执行DDoS攻击,并通过后门在受害系统列举文件和目录创建和执行程序,同时具有内置的键盘记录功能,可将记录的键盘输入发送到远程地址

三、安全建议
1、 不要打开不明来源的邮件附件,对于附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;
2、 谨慎访问网络共享盘、U盘、移动硬盘时,发现可疑文件首先使用杀毒软件进行扫描;
3、 建议使用腾讯电脑管家或部署腾讯御点终端安全管理系统防御病毒木马攻击;

4、 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;

IOCs
Md5
5c58e370266f182e6507d2aef55228e6
9c852e1c379849c3b6572a4d13b8624b
f1af3d3d0c5a5d6df5441314b67a81f4
d1b2b5b83f839a17d113e6c5c51c8660
3d62ac71ff3537d30fcb310a2053196a
aa22ed285c82841100ae66f52710e0b1

Domain
www[.]apasajalah.host.sk

URL
http[:]//www.apasajalah.host.sk/testms.php?mod=save&bkd=0&klog=
http[:]//www.geocities.com/m00nL19ht2006/
http[:]//www.geocities.com/sblsji1/IN12QGROSLWX.txt
http[:]//www.geocities.com/jowobot123/BrontokInf3.txt
http[:]//www.geocities.com/sblsji1/in14olpdwhox.txt
http[:]//www.geocities.com/sbllma5/IN12ORURWHOX.txt

参考链接:
https://www.f-secure.com/v-descs/email-worm_w32_vb_fw.shtml

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:01 , Processed in 0.131966 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表