全国咨询电话

02389108633

关注官方微信

【安全通告】新型间谍木马来袭,紧盯Minecraft账号信息


  • 线程7:上传信息到ftp。

      近日,截获了新型间谍木马Javacrypt,该木马不仅会窃取用户浏览器和Email信息,还会窃取被感染系统中Minecraft游戏账号信息,并删除steam游戏平台文件。其通常通过垃圾邮件以及恶意站点传播,将该间谍木马命名为:TSPY_MSILOG.SM。

image.png


攻击流程

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6ouP4Im5W2ic6ABctnGibux6gq2g9UeJUsvYicbaDRFUunSgiays1LjpLrBg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


病毒详细分析
      母体文件Javacrypty(windowsupdate.exe、windows update.exe、Sys.exe)分析   


      亚信安全沙箱DDAN已经可以检测该病毒:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oHpz18h1qyEXGjOjvwsibic5RFUMJAXCB9Q0psJRX8fddUF7UnCeQxw9w/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

      使用双DOS标题以避开分析,亚信安全DDAN能成功检测到相关行为:
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6olzFCyYUOGic3f6I1uv6KqXica0Fs4DS6K782jzhRpGDOcTLISibLamang/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

      加载加密的字符串,以便后面解密调用,此字符串经过base64和rijndaelmanaged加密:



https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6owPR36nPrX85aflBrrQ4cL2H6WRDgt3btdeBeNQvox4r2xAJaL1IFbQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


      读取备份病毒的目录信息,写入sysinfo.txt。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6ow4iaxicTHhBmfOHOuORGu8hofARVDXIK8mjszTmtB2hsLHMEUWUYNwCw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6otCS2yLcWV2gSVyf8EYasccvMU4NOmECukeHdMYXDpV3lOmRdj0eNtg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

      随后备份病毒至roaming文件夹并重命名为windowsupdate伪装成系统更新软件,并调用process.start运行。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oNjOWPrgahxg2SJ2x0voCIVVC7FrU9C8TWCSYLDdma0dGFHzWAiawmMg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oiaUGadeiaYc9HBibHyrXWZ7icLtjaKkibkqqeEnDfx61RObfCdQmmxIgw8A/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

      

      把pid和文件位置写入pid.txt和pidloc.txt。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6okxUyPNyNS6Jw8Vl5hMcTCrCKKTlwkzR6J8iaicuH7tAfTdTVxDTNOmwA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
      调用解密函数解密字符串ftp、smtp、php等相关信息,为后续窃取信息并上传做准备。

      


      * ftp解密及用户名和密码:ftphost=ftp20.hostland.ru


图像_2021-02-02_115408.png
      * Phplink和passstring解密,地址已能被web信誉拦截。

图像_2021-02-02_115556.png图像_2021-02-02_115618.png

      * Smtpstring解密:

4.png

      

      * 解密密钥256位



1.png
      获取中毒机器IP地址:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6og42bjRiawibRJCdUraJqQmC3wibibqAWwNvoJ9qWDky1ibEK90eCCnyMibzA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6osRo8na4zb71JkfZZfLbBmiaibSZDKicm6vibVEicIw9icIHiaLPr8jP1xVTZQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

读取系统中的防火墙和杀毒软件:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6odIDwDYiaGlkH4tibz5vdaXC6ibNLhpDr20KiaVEiaRzfJWz1PRlpRSA1x0Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oqByH0wkV3kdIBpT2ibFqxAibr4f2zkuTj1rYJxBVbKNB9TcoG9SKk6Yg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

开启10个线程,分别进行不同的操作:


      

  • 线程1:弹出虚假信息弹窗,让受害者误以为病毒未成功运行。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oXJgemDFMJ78P8SlvKuKfqvvFrGoWWOcLJ8ick91ozNQiaezZXUOBL0Gw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6o1sdWU4PM32rDQl8ZM2G1niamUjf2WQ9j6eQ5azvHib7EHKIibnhAPCfrg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 线程2:修改注册表键值,修改系统显示文件的状态。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6o92cZIh2gSpAe3ajiarzib0smkT352YxKHuFUKMQ5YaCNtQqC01ZeHV5w/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
  • 线程3:获取计算机基本信息并发送邮件至服务器。


xc3.png
  • 线程4:读取进程列表是否有bitcoin相关进程,若有则终止,并窃取钱包文件wallet.dat。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6o9nMYyrM4ArhkCVkEPSYbstibg6eh84QCZRSPQRzSYJhoZZlPSfQmTPA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
加载**个PE文件用于读取mail密码。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6ovDeF1NRETLtCY9ichG5EZZhrzbibozmVnibDswd1dxWWzvnWxh7ORawaQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
加载第二个PE文件用于读取浏览器密码。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oQDR3cgQWQBah1S4feZm0HUbrw1YCiaqb2a5Wc48ShPrtI7icduCQXuiaA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
从内存中dump出窃取mail和web的文件,这两个文件是读取浏览器与邮箱密码的常用工具Mail PassView和WebBrowserPassViwer。
dq.png
释放第三个PE后门程序。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6oa0IK3KPwdibSfIenXViaIGTuOibrRaGKwJMGRxhacO9X9rWiaW03icG5pjA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6on9D3usrhgJL0or79PguBOcgicM1y1zz76px1Fomib54dia2wQrXUQ6ldQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1



  • 线程5:读取系统中是否存在Minecraft游戏,若存在窃取lastlogin文件。



https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6ouiaFzo5WnNuDVRdkX62zuz6IOPCn0HqOJEYpVblDwP6PBBTS9ChibZ1w/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
  • 线程6:在后台实时kill系统工具进程,并添加自启动。



xc6.png
kill任务管理器、注册表、msconfig和cmd。

kmc1.png

kmc2.png

kmc3.png

KMC4.png


添加注册表的键值以达到自启动的目的。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6ocp7tuGttRfjvRKfNKhFpSxIo8VLiaSsSHPaCJZoACYuibbA7dkDekXLQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbFk1EaccjH3aibrUeuoI5D6onibJV4FmCm0gUMibLCVrRb9Ro41a9mwnlfWgncQyFPF9eGN6t4vEibhHQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


线程7:上传信息到ftp。



图像_2021-02-02_150620.png

线程8:上传信息到php。



xc8.png

线程9:上传截屏信息。



xc9.png

线程10:传播模块,此行为类似于文件夹病毒,通过对计算机中的盘符写入autorun.inf以及病毒文件sys.exe达到感染磁盘的目的,通过可移动设备传播到其它计算机。


xc10.png
停止steam进程,并删除steam组件SteamAppData.vdf、ClientRegistry.blob:
图像_2021-02-02_151036.png
读取浏览器信息文件:

图像_2021-02-02_151143.png
病毒上传文件时会检测ftp是否能连接上,若能则输出yesftp,否则输出noftp,并换成php链接。
图像_2021-02-02_151234.png
     Ebfile_1.Exe(Yandex.exe、Server.exe、ok.exe)分析  
此组件主要用于添加防火墙放行目录,创建计划任务。其已经添加到病毒库中,检测名为BKDR_BLADABI.SMC。亚信安全沙箱DDAN已经可以检测该病毒。
sxbd.png

病毒会先查看系统中是否有互斥体Yandex,若有则停止运行,否则创建互斥体并运行。
图像_2021-02-02_151624.png
查看是否有病毒副本ok.exe,若无则创建并运行ok.exe,开启新的进程,结束此进程。
jc.png
关闭系统安全警告弹窗。

tc.png
关闭添加防火墙放行。

fx.png
创建计划任务,删除自身并结束进程。

jc22.png

jc3.png


手动查杀方案

由于cmd进程会被查杀,所以使用PowerShell执行taskkill /f /IM “windows update.exe”;

删除恶意计划任务Server;

打开任务管理器终止Yandex.exe进程;

打开注册表,删除HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run中的自启动项WindowsUpdate.exe和Yandex.exe。



亚信安全产品解决方案

亚信安全病毒码版本16.503.60,云病毒码版本16.503.71,全球码版本16.503.00已经可以检测,请用户及时升级病毒码版本;

恶意URL已经可以被web信誉拦截。



安全建议




打开系统自动更新,并检测更新进行安装;

请到正规网站下载程序;

不要点击来源不明的邮件以及附件,邮件中包含的链接;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

尽量关闭不必要的端口及网络共享;

请注意备份重要文档。备份的*佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。



IOCs

zh.png