首頁|退出

11月29日病毒播報


發布者:網安網  發布時間:2012/12/4 11:08:00  閱讀:28227

遠程控制另類用法播報

病毒描述

病毒名稱    :  Backdoor/Torr.acn
文件MD5     :  3966A20A6999FAEDCA20EBF153256562
文件大小    :  142,864 字節
編寫環境    :  C++
是否加殼    :  否


文檔公開級別 : 完全公開


病毒執行體描述:
    Backdoor/Torr.acn 病毒是一個動態鏈接庫文件(DLL),從病毒的特征來看是一款遠控控制的原型,但又做了其他的一些修改,對棋牌游戲進行了監控,偷取帳號信息,與中毒的機器進行交互來完成相互之間棋牌帳號信息盜取與游戲幣交易。其運行后會對系統進行Host文件劫持,僅僅針對棋牌游戲的網站進行劫持,自己偽造一臺服務器,來處理偽造的棋牌網站相關信息,當正常的普通用戶在不知道自己感染病毒的情況下訪問網站會被暗地里鏈接到黑客轉向的網站,若繼續下載里面的游戲客戶端進行游戲,在進行棋牌娛樂時就已經被盜取游戲幣了,因為手段隱蔽所以普通用戶很難發現。


病毒行為流程分析:

一. 傳播途徑
    通過對Backdoor/Torr.acn的深入分析,發現此病毒的生存僅僅是為了讓普通玩家在訪問棋牌網站的時候鏈接到黑客偽造的頁面上,而整個頁面上只有"大廳下載"的鏈接是正常的下載鏈接,其他的均為空鏈接,黑客偽造網站的時候只對下載大廳的用戶進行了劫持,并未對充值做劫持。病毒被運行以后會幫用戶電腦建立棋牌的快捷方式,棋牌無論是否安裝都會建立快捷方式,并運行棋牌游戲,猜測此病毒第一次進入用戶系統是用戶通過其他途徑下載的安裝包捆綁執行。

二、執行流程
    Backdoor/Torr.acn 病毒第一次執行會再用戶桌面上創建棋牌游戲的快捷方式,并且運行棋牌游戲進程(GamePlaza.exe)。
游戲默認安裝在"C:Program FilesKaiUnion Tech456游戲",
在病毒程序編碼過程中此路徑是直接寫在程序里的并不是動態獲得。
會修改Host文件劫持棋牌官方網頁。

由于下載游戲大廳的網址為黑客惡意劫持篡改,玩家下載游戲后運行后,導致游戲幣被盜取,由于普通用戶舉報域名有毒,在安全廠商對此網址報毒,也是一個誤報。

    Backdoor/Torr.acn 病毒運行起來后,一直在后臺對游戲窗口進行監控,如果用戶輸入密碼的窗口彈出來,則開始記錄,記錄的信息加密后保存在固定位置。并連接遠程主機提供交互。


病毒技術要點

    Backdoor/Torr.acn 在對網站域名劫持方面,因為多數安全廠商并未檢測當前訪問的域名在本地hosts文件中是否有記錄,而導致玩家舉報的時候對官方的網站進行了誤報。是一種手段,現在DNS劫持已經流行起來,在對pc病毒做檢測的時候也無法忽視web安全帶來的隱患。


病毒清理流程

1. Backdoor/Torr.acn病毒是動態鏈接庫,其本身并不能直接運行,而它又是由游戲正常的進程加載,手動清除對普通用戶很困難。
建議下載安全殺毒軟件進行系統掃描后方可清除。

【來源:江民科技】


技術支持:  深圳市計算機安全應急服務中心
廣東安證計算機司法鑒定所
版權所有 2008-2009 © 中國網絡安全保障服務網 All Right Reserved
粵ICP備09101699號-1  

粵公網安備 44030502000970號

   
31选7中奖规则及奖金