行业资讯

  1. 你的位置
  2. 首页
  3. 新闻动态
  4. 行业资讯

【安全通告】新型间谍木马来袭,警惕您的重要数据

2020-05-11 09:38:50 david 5

网络安全

近日,亚信安全截获了一款新型间谍木马病毒,木马病毒通常是用户访问恶意站点时不经意下载到达本机。一旦用户运行该病毒,其会复制自身后进行自删除。该木马病毒会窃取计算机中所有数据以及显示器的截图信息。亚信安全将其命名为:TrojanSpy.Win32.STEALER.AW。


图片关键词



攻击流程

图片关键词

病毒详细分析


该木马首先会创建互斥体,以防止多次运行:


图片关键词



该木马调用FindNextFile函数,遍历计算机内部的users文件夹中的文件:


图片关键词



创建文件映射,使文件能被共享读取,从而使得文件能够被病毒从内存中读取:


图片关键词



由于文件可被共享,所以在窃取数据时需要把文件锁住,防止病毒在对文件进行读写操作时被调用,因此病毒调用了lockfile函数:


图片关键词



至此,病毒可以调用copyfile函数把读取到的内容写入内存:


图片关键词


 
为了防止溢出内存,病毒还调用了setfilepoint函数,该函数可以重新设置文件读取的位置,这样病毒就能够分段读取大文件的内容,避免内存溢出。


图片关键词



病毒创建临时文件:


图片关键词



病毒获取当前显示器的信息和分辨率,然后获取显示器的位图图像,像素点经过转换后,调用GDI函数将图像信息保存到内存中: 


图片关键词



转换图像像素:


图片关键词



把窃取的文件写入之前创建的临时文件,等待上传:


图片关键词



建立http连接传送数据:


图片关键词



使用multipart/form-data编码提高文件的传输效率,发送完成后释放内存:


图片关键词


图片关键词

上传的文件:


图片关键词



Post数据到以下URL:


图片关键词



通过抓包,得到外链IP地址:185.22.155.62。


图片关键词



亚信安全教你如何防范



  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 打开系统自动更新,并检测更新进行安装。



亚信安全产品解决方案

亚信安全病毒码版本15.851.60,云病毒码版本15.851.71,全球码版本15.851.00已经可以检测,请用户及时升级病毒码版本。

IOC
SHA-1:A41ADD77C42EE5C32A23D78D03A060EA45B9B174




文章来源:微信公众号"亚信安全"


为您推荐

首页
产品
新闻
联系