通过挂马网站传播的Maze(迷宫)千亿体育_qy88VIP千亿体育 通过挂马网站传播的Maze(迷宫)千亿体育_qy88VIP千亿体育

qy88VIP千亿体育

通过挂马网站传播的Maze(迷宫)千亿体育

2019-06-20   

千亿网站:★★★★
Maze(迷宫)千亿体育与GandCrab千亿体育一样,采用RSA+Salsa20结合方式网站, 并且网站后针对每个体育随机生成不同的后缀名。目前该体育通过在挂马网站上使用fallout EK体育利用工具包传播。

背景介绍

Maze(迷宫)千亿体育。自从近年来知名度最大的千亿体育GandCrab在宣布退休拉下序幕后, 越来越多的千亿体育效仿者模仿GandCrab。猜测该千亿也从其中获得了一些思路, 其网站模式同样采用RSA+Salsa20结合方式网站, 并且网站后缀名更是针对每个体育随机生成不同的后缀名。目前该体育通过在挂马网站上使用fallout EK体育利用工具包传播。

图:千亿信展示

值得注意的是该体育会检查受感染电脑的使用途径是家用还是服网站, 来确定具体的千亿金额。

图:用户桌面壁纸被修改

体育MD5:9823800F063A1D4EE7A749961DB7540F

千亿网站:★★★★

体育演示视频

技术分析

体育通过一个C/C++外壳在内存中释放并执行ShellCode

图:动态千亿执行ShellCode

删除卷影拷贝, 防止用户利用系统工具恢复体育。

图:删除卷影拷贝

导入作者RSA公钥, 准备网站数据

图:作者RSA公钥

为每个体育单独产生32位Salsa20密钥

图:生成Salsa20 Key

为每个体育单独产生8位Salsa20初始向量

图:生成Salsa20 IV

通过体育映射访问体育, 使用salsa20算法网站体育数据

图:Salsa20常量特征

在内存中千亿生成千亿信数据

图:千亿得到千亿信数据

遍历磁盘目录, 开始网站体育

图:遍历磁盘

网站白名单目录, 网站过程中排除以下目录:

Program Files、Games、Tor Browser、ProgramData、cache2\entries、Low\Content.IE5、User Data\Default\Cache、All Users

图:排除部分目录

为每个目录创建千亿信

图:创建千亿信

网站白名单体育

DECRYPT-FILES.html、autorun.inf、boot.ini、desktop.ini、ntuser.dat、iconcache.db、bootsect.bak、ntuser.dat.log、thumbs.db、Bootfont.bin

使用作者的RSA公钥网站 Salse20Key、Iv得到以下网站后的密钥

图:被网站的密钥数据

使用CryptGenRandom为每个体育单独生成salsa20Key、Iv, 网站体育内容。再使用RSA公钥网站salsa20Key、Iv. 在体育末尾追网站钥数据与网站标识。

图:被网站的体育结构

网站后体育扩展名完全随机, 每个体育都是不同的扩展名称。

图:随机扩展名

预防措施

  1. 提高上网安全意识, 做好重要数据定期备份。
  2. 及更新系统, 修补体育补丁。
  3. 不使用弱口令密码。
  4. 安装杀毒软件计时更新体育库。
  5. 安装防千亿软件, 防御未知体育网站体育。
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际