KryptoCibule
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒实行体形容
该坏心软件至少从2018年12月运转传播,但直到咫尺才浮出水面。
KryptoCibule的筹划客户是加密货币用户,这款坏心软件有三个主邀功能:(1)在受害者的系统上装置加密货币采矿者;(2)窃取加密货币钱包算计的文献;(3)替换操作系统剪贴板上的钱包地址以劫捏加密货币付款。
这些特点是坏心软件拓荒者大皆拓荒使命的成果,自2018年底KryptoCibule的第一个版块发布以来,他们缓缓地给它的代码添加了新现实。
国产gv
这种坏心软件也曾缓缓演酿成一种复杂的多组件威迫,远远逾越了咱们在大多数其他坏心软件中所看到的。
咫尺,该坏心软件是通过盗版软件的torrent文献传播的。下载这些种子的用户会装置他们念念要的盗版软件,但他们也会运作坏心软件的装置模样。
这个装置模样设立一个重新启动的捏久性机制,它依赖于预定的任务,然后装置KryptoCibule坏心软件(launcher)的中枢,OS剪贴板劫捏模块,以及Tor和torrent客户端。
KryptoCibule使用Tor客户端安全通讯指令畛域(C&C)职业器,托管在暗网,而使用bt客户端负载torrent文献,最终将下载其他特地的模块,如代理职业器、crypto-mining模块、HTTP和SFT职业器,它们关于坏心软件的操作时势中的一项或多项任务皆尽头灵验。
总之,KryptoCibule对加密货币使用者是个坏音讯,因为它显着是由懂恰当代坏心软件操作的东说念主联想的。
KryptoCibule还包含一项功能,不错检查受害者计较机上是否存在防病毒软件,况兼该模块仅不错检查ESET,Avast和AVG的存在。
这种坏心软件咫尺只分辨在人人的一个小地区,莫得原理肯定这将在畴昔连续如斯。
用户应该保捏警惕,幸免KryptoCibule这类威迫的最通俗步调即是不要装置盗版软件。夙昔十年的多份评释也曾教学用户,大多数盗版软件的torrent文献平方皆带有坏心软件,不值得冒这个险。
刺目和断根:
不重点击不解网站;灵通不解邮件附件;定时时时更新杀毒软件病毒数据库,最佳灵通杀毒软件的病毒数据库自动更新功能。关闭电脑分享功能,关闭允许汉典衔接电脑的功能。装置最新的系统补丁。
BLINDINGCAN
警惕程度 ★★★
影响平台: Windows 2000/7/8/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP
病毒实行体形容
当加载模样加载DLL文献时,该坏心软件就会运行。下图显现了BLINDINGCAN运行之前的事件流。JPCERT/CC也曾阐述DLL文献是在一些示例中编码的(这需要在实行之前由加载模样解码)。
以下部分将评释BLINDINGCAN的设置和通讯条约qvod成人影片。
BLINDINGCAN的设置存储在以下位置之一:
硬编码在坏心软件中
存储在注册表项中
另存为文献
如若它保存为文献,它将存储在BLINDINGCAN地点的兼并个文献夹中。咱们也曾阐述,如若设置存储在注册表项中,则使用以下目次。
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Value: "SM_Dev16[numeric string]"
设置使用XOR编码、AES或RC4加密。加密密钥要么是固定的,要么是凭证受感染建立的环境生成的。JPCERT/CC已阐述以下加密密钥模式:
[File name][Export function name][Service name]
[CPUID][Computer name][Processor name][Physical memory size]
下图显现了解码设置的示例。这包括代理信息以及C&C职业器信息。
BLINDINGCAN中的部分代码使用RC4进行了浮松处理。下图是一个浑浊代码的示例。RC4加密密钥是在示例中硬编码的。
底下是BLINDINGCAN在运转时发送的http post央求数据的示例。
数据模样如下(除RC4密钥外的所有值皆是RC4加密和Base64编码的)。第一个HTTP POST央求中的param2是字符串“T1B7D95256A2001E”的编码值。
POST提交的的参数(PARAM1,PARAM2,PARAM3)从以下立地采选:
boardid,bbsNo,strBoardID,userid,bbs,filename,code,pid,seqNo,ReportID,v,PageNumber,num,view,read,action,page,mode,idx,cateId,bbsId,pType,pcode,index,tbl,idx_num,act,bbs_id,bbs_form,bid,bbscate,menu,tcode,b_code,bname,tb,borad01,borad02,borad03,mid,newsid,table,Board_seq,bc_idx,seq,ArticleID,B_Notice,nowPage,webid,boardDiv,sub_idxa
这里使用的RC4加密不同于旧例加密。它有一个程度来迁徙键流C00h次。底下是用Python编写的RC4加密过程。它不适用于使用旧例RC4的param3。
下图是从运转与C&C职业器通讯到继承号令的通讯经由。
BLINDINGCAN不错实行多个功能,包括以下功能。
对文献的操作(创建列表、删除、迁徙、修改技艺戳、复制)
程度操作(创建列表、实行、圮绝)
上传/下载文献
获得磁盘信息
获得职业列表
实行淘气shell号令
刺目和断根:
不重点击不解网站;灵通不解邮件附件;定时时时更新杀毒软件病毒数据库,最佳灵通杀毒软件的病毒数据库自动更新功能。关闭电脑分享功能,关闭允许汉典衔接电脑的功能。装置最新的系统补丁。
垂钓网站辅导:
1、假冒亚马逊类垂钓网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:诱拐用户邮箱账号及密码信息。
2、假冒PDF类垂钓网:
危害:诱拐用户账号及密码信息。
3、假冒Paypal类垂钓网:
危害:诱拐用户账号及密码信息。
4、假冒腾讯游戏类垂钓网站:
危害:诱拐用户信用卡号及密码信息。
5、假冒Gmail类垂钓网站
-includes/SimplePie/Data/
危害:诱拐用户邮箱账号及密码信息。
请勿灵通访佛上述网站,保捏计较机的网罗防火墙灵通。
以上信息由上海市网罗与信息安全济急处理事务中心提供