技术不够,外挂来凑,小心远控木马“上身”爆

发布时间:2020-09-10  来源:  作者:江风

  点击“快捷方式”就可打开对应应用程序的操作,早已成为大多数用户的惯性思维。然而,这种习惯成自然的固化经验,却往往能够为黑客们提供猖獗作乱的绝佳契机。

  近日,360安全大脑监测发现,一批“带毒”快捷方式持续横行网络,在QQ、微信中大肆传播远控木马,并以“资料.exe”、“截图202008170020.exe”、“王者辅助.exe”等名称为幌子,诱使被害者点击运行。

图片1.jpg

  360安全大脑在深度分析后,发现该远控木马除了具有键盘记录、盗号、录音、截屏等常见远控功能外,还会进一步利用QQ快捷登陆接口盗取QQ群信息,严重危及到了广大网友的隐私及数据安全。

  不过广大用户无须担心,360安全大脑已率先对该远控木马实现拦截查杀,中招用户可尽快下载安装360安全卫士,可有效抵御该类远控木马威胁。

  游戏外挂实为远控木马“烟雾弹”

  广东、北京两地沦陷成灾情震中

  360安全大脑在8月16日首次监测到该木马后,通过追踪分析发现,木马作者在社交软件QQ上以游戏外挂为诱饵,诱使游戏玩家运行该程序。如果用户因被“游戏外挂”程序的“烟雾弹”所麻痹,而不慎打开,那么木马的远控功能也会同时在后台开始运行。

图片2.jpg

  根据360安全大脑的监控数据进行统计,该木马目前已在国内多个省份广泛传播,诸多重点城市纷纷不幸沦陷。其中广东、北京两地的受灾情况最为严重,成为灾情震中。

图片3.jpg

  木马释放组合式“恶意”套餐

  擅入QQ“任性”窃取隐私数据

  360安全大脑在进一步深度分析后发现,该远控木马运行后会释放大量文件到C:ProgramData目录下。这些文件中有各种程序或脚本,会将木马主程序添加为开机启动项,并释放前文中所提到的用于迷惑受害用户的“外挂程序”。完成准备工作后,木马会执行释放出的白程序CC.exe,并利用该程序加载含有恶意代码的nw_elf.dll文件执行后续功能。

图片4.jpg

  通过分析得知,病毒运行后会在内存中解密出远控木马,该远控木马具有盗QQ号、关闭设备、获取键盘记录、录音、截屏、清理系统日志、添加自启动项、下载程序并运行等在远控木马中常见的恶意功能,甚至还会通过遍历进程的操作检查系统中存在的安全软件。

图片5.jpg

  而与常见的远控木马不大一样的是——该木马还会进一步获取受害用户机器中的QQ相关信息,其主要手段是利用QQ的登录接口,通过模拟本地QQ软件的网络请求来获取到一些较为隐私的数据。

图片6.jpg

  只要受害机器的QQ软件在本地已经登录,该木马就能获取到一些已登录QQ的本地信息,再通过这些信息构造数据,进一步从QQ在线登录接口中获取到:已加入的群信息、群好友信息、群成员列表等数据,甚至还可以利用接口和这些信息,以受害人的名义,向受害用户所在的各个QQ群和好友发送垃圾或有害信息,不断扩围病毒的传播。

  不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士目前已可有效拦截查杀该类远控木马。为全面保障广大用户的个人隐私及财产安全,净化网络环境,360安全大脑给出以下几点安全建议:

  1、前往weishi.360.cn,下载安装360安全卫士,对此类远控木马威胁进行有效拦截查杀;

  2、对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

  3、不轻易打开QQ、微信等即时通讯软件中传播的未知安全性文件。

图片7.jpg

  IOCs

  535966c91f987771ead264589e4284bf

  abcf82d99006a0becf236c514f868cf3

  8a0577be2778ff653adcd85e26ea27c6

  d7c4eb691b0b2773d53982d247a64dd5

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。





上一篇:赋能教师 iEnglish助力教育公平_科技
下一篇:华为 DevEco Studio 1.0 上线并开启内测招募:可开发

最新更新
 
精彩图片