揭开盗窃狂魔Trojan-PSW木马面纱

2008/12/22 来源:www.arpun.com 作者:小白

QQ上广泛传播地各种回答问题得到q币中奖消息中, 其中部分所包含着恶意链接, 访问该链接将导致用户电脑感染多种木马程序, 经过仔细分析这些木马几乎都归于一类——Trojan-PSW木马!

  一、Trojan-PSW木马的定义

  近年来, 网络犯罪和破坏更加趋向于能够给攻击者带来直接或间接的经济利益, 像之前对纯技术的追求已经不那么明显, 而随着黑客技术和黑客工具的普及, 使得网络犯罪与破坏的技术门槛降低, 许多不法分子利用这些技术进行非法牟利, 其中最突出的表现就是Trojan-PSW木马的大肆传播。

  在用户不注意的情况下, 将木马程序植入用户电脑, 自动获取预先指定好的、木马所有者所感兴趣的用户敏感信息资料, 并通过木马程序将非法窃取的资料发送给木马所有者, 这样的木马程序通常盗取银行帐号、网络游戏帐号、信用卡卡号等以及对应密码, 因此被归类于Trojan-PSW木马。

  Trojan-PSW木马是随着网络发展而出现的, 当人们感受到计算机以及互联网给日常生活带来的便利后, 开始倾向于将一些敏感的信息存储在电脑上或者通过电脑进入互联网发送这些信息, 这样就给了不法份子进行“网络盗窃”的条件。 他们开始设计一种恶意程序, 并通过各种各样的方式植入用户电脑, 从中搜索自己需要的资料或者直接截取到用户输入的信息, 记录下来后转发给自己, 然后利用盗取的资料从事非法牟取暴利活动。 此类木马往往不需要太多的技术含量, 可能利用一些系统漏洞进入用户系统, 不过大多数情况下, 是通过诱骗用户点击某个网站链接, 或者直接通过即时聊天工具发送木马程序给用户, 当用户运行木马程序或者访问过恶意链接后就会间接感染该木马。

  二、Trojan-PSW木马的特点

  Trojan-PSW木马在网络上已经出现了好几年, 而且引发的安全事件以及犯罪行为都在不断增加, 其破坏不容小觑。

  究竟该类木马如何植入用户电脑?

  如何在用户电脑中获取到敏感信息呢?

  究竟木马作者所感兴趣的敏感信息有哪些?

  当获取到信息后, 又是如何将信息发送给木马所有者呢?

  下面就是总结出的一些Trojan-PSW木马特点:

  1.利用“社会工程学”等手段侵入用户电脑

  木马相对于蠕虫来说, 缺乏主动传播性, 木马的所有传播行为都是有人为参与, 而不像蠕虫那样不需要人工干预, 可以自发地搜索可感染目标。 再有木马比较有针对性, 通常是种一对一或者一对多的入侵行为, 而蠕虫是一种无法预测、不能控制的多对多的入侵。

  由于木马的这样特点, 使得木马的传播与其他病毒有一定的区别, 但大多都利用了一些“社会工程学”的技巧:

  (1)利用系统漏洞直接传播

  用户电脑本身存在系统漏洞, 如操作系统漏洞或者是IE浏览器漏洞等, 都可以被不法分子利用, 直接将木马程序复制或者下载到用户电脑并进行安装。

  (2)利用即时聊天工具诱惑传播

  据统计, 这种传播方式最为有效, 也是木马所有者惯用伎俩, 即时聊天工具的普及给了他们传播木马程序的媒介, 且利用了人们的好奇、贪小便宜的心理以及对好友不设防的薄弱思想, 通过发送一段具有诱惑性内容的消息, 附带一个链接, 诱使用户点击访问。 一旦访问, 就会自动将木马程序下载到用户机器并运行起来。 (3)利用网站、论坛欺骗传播

  木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息, 如一些小工具、恶意网站地址, 欺骗用户说可以获取何种利益, 其中就安放了一些木马程序, 等待用户下载运行。

  (4)利用电子邮件强行传播

  木马所有者发送附带木马程序的电子邮件, 邮件主题比较吸引人, 使用户浏览附件, 从而感染木马。

  2.窃取敏感资料的方法

  木马程序成千上万, 但其窃取资料的手段大致可以归类为以下几条:

  (1)搜索文件

  通常重要的信息可能存在几类文件中, 比如.txt文本、.doc文档、.xls表格等等, 那么木马作者可能就会让木马程序自动搜索用户电脑上可能记录了关键信息的文件, 从中获取字符串, 并记录在自己的日志文件里;此外窃取密码的木马针对性比较强, 如针对于某一个网络游戏、某一种商业软件, 其记录关键信息的位置往往也固定于一些文件之中, 通过遍历文件, 搜索其中关键字符, 也同样能够获取到有用信息。

  (2)键盘截取

  这类木马功能较为简单, 不针对各类文件, 而直接针对于用户输入信息的关键设备——键盘。 木马运行后, 会将用户敲击键盘的顺序和内容记录下来, 存为一个文本, 其中可能就包括了用户的一些常用的帐号和密码, 成功率也比较高。

  (3)检测有效窗口

  当木马检测到某个程序的窗口为当前有效窗口时, 其会启动记录功能, 将用户输入到窗口的信息完整记录下来, 例如检测传奇客户端窗口。

  (4)查找cookie信息

  用户在登陆一些网页时会产生一些cookie信息, 其中可能包含了一些像用户名及密码一类的关键信息, 木马程序会读取cookie文件, 从而获得有效信息。

  3.窃取信息的种类

  前面提到Trojan-PSW木马的使用通常为了获取非法的经济利益, 这些经济利益的来源就是木马做窃取到的重要信息资料, 安天CERT整理近几年Trojan-PSW木马所涉及到的敏感信息资料:

  (1)网络银行类

  像工商银行、交通银行、商业银行、招商银行、农业银行、中国银行等指明国内银行的帐号密码以及信用卡等业务的相关资料。

  国外的情况也类似, 主要设计到集中信用卡的信息窃取, 如Visa、MasterCard等。 (2)网络游戏类

  随着网络游戏近几年的飞速发展, 其拥有的玩家也越来越多, 游戏所制造的网上财富也日益增加, 一时间, 大量木马瞄准了这块风水宝地。 因此也出现了大量针对于网络游戏的木马, 像传奇盗号的木马已经成为一个家族——Trojan-PSW.Win32.Lmir, 变种不计其数。 通过获取玩家的游戏帐号和密码, 木马所有者或将玩家人物角色卖出, 或将玩家高级装备在游戏中出售, 从而获取高额“利润”。 通常他们都是在获得该装备后, 迅速把装备转移到他在该区申请的游戏帐号上面, 进行黑货转移, 并迅速以现金进行交易, 等游戏玩家申请完, 整个交易已经早早的交易完毕, 这同时也指出了网络法定关于虚拟财产方面的定罪的空白。

  (3)网络通行证类

  通常指一些论坛或者电子邮箱的登陆帐号和密码, 窃取这些帐号后, 能够获得其中的有价值资源, 或者冒充被盗人进行一些非法活动。

  (4)聊天工具类

  诸如QQ、MSN等著名聊天工具, 也是此类木马及木马作者垂涎的猎物, 一个好的QQ号码能够在网上卖到很高的价钱, 这其中的利益就是他们行窃的原动力。

  (5)商业机密类

  商业竞争激烈, 如果能够获得对手的关键资料, 那么就可能赢得一场艰难的商业战, 而木马获取商业机密类信息所“赚”来的利润也是最高的。

  (6)大型软件类

  木马所有者可能会去针对某款正版软件的序列号或者某游戏的CD-KEY进行盗窃, 将这些资源卖给那些想使用正版, 但苦于不能注册的用户。

  4.信息回收方式

  当木马窃取到大量信息后, 会在用户电脑产生记录, 随后会通过几种常用的方式发送给木马的“主人”, 我们称之为信息回收过程, 下面就是几种木马常用的信息回送方式:

  (1)HTTP服务器

  木马所有者建立一个HTTP服务器, 接受从木马程序反馈回的消息, 通常木马程序使用get方式将消息发到服务器。

  (2)FTP服务器

  木马所有者通常会在一台电脑上搭建一个FTP服务器, 并配上公网IP, 然后在自己的木马程序中事先设定好, 这个服务器地址。 一旦木马获取到资料后, 就主动连接此服务器, 将资料上传, 而无须人工操作。

  (3)SMTP服务器

  木马所有者会在木马程序中设置一段代码完成发送电子邮件功能, 将记录信息以电子邮件的方式发送到病毒所有者的邮箱中, 或直接将信息写为邮件正文, 或作为附件进行发送。

  (4)TFTP服务器

  类似于FTP服务器, 只不过类型不一样, 此类服务器上传小文件, 尤其像记录少量信息的文本文件, 有一定的速度优势。

  (5)IRC服务器

  通过IRC服务器中的DCC命令也可以传送文件, 木马所有者预先告诉木马当获得信息后连接到某个特定的IRC地址, 并使用DCC命令将文件发送到所有者手上。

  (6)后门功能

  类似于后门程序, 在感染该木马的电脑上开启一个端口, 或者直接架设一个上面(1)、(2)、(3)中提到的服务器, 等待用户自行下载木马文件。

三、典型Trojan-PSW木马分析

  1.Trojan-PSW.Win32.Lmir.lq(传奇天使)

  病毒标签:

  病毒名称: Trojan-PSW.Win32.Lmir.lq

  中文名称: 传奇天使

  病毒类型: 木马

  危害等级: 中

  文件长度: 62,525 字节

  感染系统: windows9x以上的所有版本

  编写语言: Microsoft Visual C++

  病毒描述:

  传奇天使是专门盗取传奇账号的木马, 感染后传奇天使后, 该病毒会窃取传奇玩家的 区名称和ID名称, 密码, 及登陆服务器。 感染该病毒后会在系统目录下生成病毒相关文件winker.exe或 winker.dll, 搜索反病毒及安全软件的进程, 找到后便将该进程中止, 通过修改注册表, 启动服务, 并随系统同时启动。

  行为分析:

  1)修改注册表

  HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

  添加键值:"默认"="%Windir%winker.exe"从而达到随系统启动的目的。

  2)在系统目录下释放文件winker.exe或winker.dll。

  3)关闭如下进程:天网防火墙个人版, 金山网镖2003, 瑞星杀毒软件。

  4)修改注册表, 调用kernerl32.dll的RegisterServiceProccess, 从而注册为服务。

  2.“网银大盗”

  病毒名称:网银大盗Ⅱ

  病毒类型:木马

  病毒大小:16284字节

  传播方式:网络

  压缩方式:ASpack

  该木马盗取几乎涵盖中国当时所有个人网上银行的帐号、密码、验证码等等, 发送给病毒作者。 此木马与4月份截获网银大盗有异曲同工之处, 但涉及银行之多, 范围之广是历来最大的, 不但给染毒用户造成的损失更大、更直接, 也给各网上银行造成更大的安全威胁和信任危机。 具体技术特征如下:

  (1)病毒运行后, 盗取的网上银行涉及:

  银联支付网关-->执行支付

  银联支付网关

  中国工商银行新一代网上银行

  中国工商银行网上银行

  工商银行网上支付

  申请牡丹信用卡

  招商银行个人银行

  招商银行一网通

  个人网上银行

  中国建设银行网上银行

  登陆个人网上银行

  中国建设银行

  中国建设银行网上银行

  交通银行网上银行

  交通银行网上银行

  深圳发展银行帐户查询系统

  深圳发展银行 个人银行

  深圳发展银行   个人用户申请表

  深圳发展银行:

  民生网个人普通版

  民生银行

  网上银行--个人普通业务

  华夏银行

  上海银行企业网上银行

  上海银行

  首都电子商城商户管理平台

  首都电子商城商户管理:

  中国在线支付网: :IPAY网上支付中心

  中国在线支付网商户

  招商银行网上支付中心

  招商银行网上支付

  个人网上银行-网上支付

  (2)病毒算机中创建以下文件:

  %SystemDir%\svch0st.exe, 16284字节, 病毒本身

  (3)在注册表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中创建:

  “svch0st.exe”=“%SystemDir%\svch0st.exe”

  “taskmgr.exe”=“%SystemDir%\svch0st.exe”(4)病毒运行后会根据IE窗口标题栏判断是否为网上银行页面, 如果发现上述提到的银行后, 病毒立即开始记录键盘敲击的每一个键值, 记录键值包括:

  AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQQRrSsTtUuVvWwXxYyZz1

  !2@3#4$5%6^7&8*9(0)

  {BackSpace}{Tab}{回车}{Shift}{Ctrl}{Alt}{Pause}

  {Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}

  {Insert}{Delete}{Del}{F1} -- {F12}

  {NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}

  ;:=+,<-_.>/?`~][{\ ]}'

  (5)病毒截取到键盘值后, 会形成信息发到指定http://*****.com/****/get.asp。 其信息如下:

  http://*****.com/****/get.asp?txt=××银行:<截获的按键>

  (6)病毒开启3个定时器, 每隔几秒钟搜索用户的IE窗口, 如果发现用户正在使用上述银行的“个人网上银行”的登陆界面, 则尝试记录用户键入的所有键值, 然后把窃取到的信息通过get方式发送到指定的服务器。

  3.“证券大盗”

  该木马可以盗取多家证券交易系统的交易帐号和密码。

  具体技术特征如下:

  (1)病毒运行后, 将创建自身复本于:

  %WinDir%\SYSTEM32.EXE, 201216字节

  (2)在注册表中添加下列启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "System"=%WinDir%\SYSTEM32.EXE

  (3)木马运行时寻找一些包含著名券商名称的窗口标题, 如果发现就开始启动键盘钩子对用户登陆信息进行记录, 包括用户名和密码。

  (4)在记录键盘信息的同时, 通过屏幕快照将用户登陆时窗口画面保存为图片, 存放于:

  c:\Screen1.bmp

  c:\Screen2.bmp(5)当记录指定次数后, 将3, 4中记录的信息和图片通过电子邮件发送到webmaster@****.com。

  (6)发送成功后, 病毒将自身删除, 但4中生成的.bmp图片并未被删除。 4.Trojan-PSW.Win32.QQRob(啊啦大盗)

  啊啦大盗是一个窃取QQ密码的经典木马程序, 当感染该病毒后, 会出现无故弹出一些网页广告, 使得某些反病毒软件不能正常运行, QQ密码丢失等现象。

  具体行为分析:

  1.该木马隐藏于一个畸形的CHM文件中, 打开这个CHM文件, 木马就会被自动释放出来并且得到执行;

  2.木马被释放到%SYSTEM%目录, 名为“NTdhcp.exe”, 具有“隐藏”、“系统”和“只读”属性;

  3.修改注册表, 在注册表启动项

  HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下,

  添加如下值:"NTdhcp"="%SYSTEM%\NTdhcp.exe"

  4.删除大量反病毒软件的在注册表启动项中的值:

  KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall

  KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz

  MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe

  VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service

  KavStartKWatch9x

  5.设置注册表中下列各项的“Start”值为4, 从而禁止这些反病毒服务程序:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework

       6.监视禁止以下反病毒进程:

  FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE

  RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE

  KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE

  KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE

  KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE

  EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe

  四、Trojan-PSW木马防范

  Trojan-PSW木马的出现标志着网络攻击事件已经不再是单纯的技术突破, 而更倾向于经济利益的获取, 如何去防范这类木马的破坏行为已经成为人们日益关注的问题了。

  1.保持高度的警惕性, 不要轻易点击网上的链接, 在接受到文件后, 先使用杀毒软件进行检查。

  2.经常检查电脑状态, 是否有可疑进程运行、是否有不熟悉的文件、启动项和注册表键值、是否有不正常的网络连接行为、是否被开放不熟悉的端口等。

  3.妥善存储帐号密码一类的敏感信息资料。

  4.在做网上交易的时候, 尽量使用软键盘操作, 有能力的, 还是建议使用银行开发出的u盾或其他移动存储设备。

  5.不去访问一些小的网站, 以免被种植上木马, 勤升级病毒库和及时打微软或linux系统的补丁。

  综述:

  随着个人利益的追求最大话, 越来越多的技术性选手开始走向黑色经济那边, 他们将更多的木马和底层黑客工具进行捆绑, 开发出免杀的dll木马并和盗号木马进行合并, 组成新型的黑客攻击工具。 从以上的这些分析的数据来看, 对手的编写水平是在突飞猛进的增长, 对我们也是一个强大的考验, 这种盗号木马的出现, 更说明了他的背后有很广阔的市场, 有很强大的地下交易市场, 所谓治病需除根, 呼吁有关部门还是要严查这些地下市场, 切断其根部, 断了它那源源不断的黑色血液, 在这里也给那些刚出校门的或者还在校园里面, 平时喜欢使用一些黑客工具的人, 从最近几个朋友给我聊天和询问的情况来看, 红狼小组开发的这个远程控制很受欢迎, 对于个人用户来说十分有效, 但是, 在这里我忠心的告诉你们, 不要以为会玩几个黑客工具就能当黑客, 真正的黑客根本不会去无聊到黑个人机器, 学校服务器等, 可能由于一些爱好和兴趣, 早先黑过一些机器, 但是黑完以后他也要面临巨大的代价, 请你们把精力用在学习上, 不要幻想着开发一个病毒, 黑下一个知名站点而觉得能一下成名, “钱”途无量。

  同时针对这样的盗号木马我和安天的cert小组也配套开发出了一些专用检查工具, 在这里我还是要感谢安天cert全体小组成员的大力支持和帮助, 也要感谢诚信网安团队成员能积极的对一些用户提交的可疑病毒进行逆向分析, 在短时间内完成专杀工具的开发, 还要感谢我身边的王清、王琪两个兄弟的帮忙

网友评论
评论(...
全部评论