مقدمة

360 الإنترنت مؤخرا مركز الأمن لمراقبة مجموعة واسعة من شبكة خطف انتشار حصان طروادة في العديد من المقاهي والجامعات في الغرفة. بدأ حصان طروادة للانتشار في البلاد في سبتمبر 2018، والاستفادة من العبث مع إعدادات الشبكة التي خطفت بيانات شبكة العميل ورصد QQ الدردشة، وما إلى ذلك لسرقة خصوصية المستخدم.

بمزيد من التحليل بأثر رجعي التي تم العثور عليها البرنامج يجري مقاهي الانترنت للهجوم أو المدرسة بيئات غرفة الحاسوب، ويتم استخدامها في منتج يسمى "حاد من النظام الخالية من الأقراص (إلى الإصدار الإعلان)"، و. وهو برنامج المستخدمة، مزروع "شين شقيق حصان طروادة" مع اختطاف وظيفة لجهاز الكمبيوتر الخاص بالمستخدم. وفقا لفهمنا للاحصاءات، وهناك تتأثر لا يقل عن 60 مقهى للانترنت وتسع جامعات، قائمة المواقع خطفت أكثر من 9000، في حين أيضا الحصول على رقم المستخدم وQQ دردشة ملفات السجل وغيرها من المعلومات. خطفت طروادة الموقع من خلال الملاحة القفزة النهائية، وطرق أخرى للعب لعبة التربح الظهر.

تحليل طروادة

نظام الخالية من الأقراص تذهب من خلال هذا الإعلان، وسيصدر دعا طروادة AD_xxxxxx_UID.exe من:

معلومات ملف طروادة

أحصنة طروادة التي تحققت في شكل اختطاف شبكة والعبث تستضيف DNS، والتي تديرها العلاقة على النحو التالي:

مخطط تدفق التنفيذ

لعبة مخطط واجهة القائمة

عملية التثبيت

"شارب من" برنامج الملقم بعد الإفراج عن الوثائق ذات الصلة سيتم تحديث، إلى العميل في تنفيذ العميل، مما أدى إلى نظام شبكة آلة الخالية من الأقراص بأكمله في جميع السكتات الدماغية، وبرنامج عميل لبدء القائمة عبة يقرأ MenuScreenConfig.xml يتم تنفيذ إدخال ملف التكوين التلقائي بدء التشغيل تلقائيا بدء بالترتيب التالي: TopTen \ menu.dat RichtechGameTool.exeProgramlog.exeAD_xxxxxx_UID.exe، وأحصنة طروادة التنفيذ النهائية.

إدخالات التشغيل التلقائي في ملف التكوين

من أجل تحقيق الغرض لخداع الرأي العام، وأحصنة طروادة أيضا نسخ نفسها إلى الدليل تينسنت TGP، أدوبي وغيرها من تنفيذ برنامج لعبة شعبية:

نسخ حصان طروادة لأدوبي، TGP كود دليل المتكررة

موقع المخطوفة

و"Tencent.vbs"، بعد تشغيل البرنامج النصي، سوف تتحقق التنفيذ النهائي طروادة عن طريق العبث DNS خطف البيانات تستضيف ملف وسحابة ولدت وفقا لسيناريو محليا. وفي الوقت نفسه، فإن حصان طروادة إرجاع معلومات المستخدم إلى قاعدة بيانات خادم سحابة، والعودة المعلومات ما يلي: اسم الجهاز وعنوان MAC، IP الإنترانت، الإكسترانت IP وهلم جرا.

خطفت طروادة للحصول على محتوى من قاعدة البيانات السحابية

بعد خطف الصفحة المقصودة، وفقا لUID المقابلة سيتم عرض محتويات خادم لطلب قاعدة البيانات ذات الصلة. وإذا كانت الخطوة الحصول على خطأ، والقفز إلى صفحة مع رقم القناة 2345 الملاحة (k1828680) من. الصفحة يتم عرضها، وحتى اللعب مع التعليمات البرمجية في وحدة التحكم متصفح "الذكاء الاصطناعي هو التكنولوجيا الأساسية لتطورها"، وكلمات مثل:

متصفح عرض النص حدة:

وحدة خرج رمز الشفرة

تسجيل المعلومات QQ

سيتم تسجيل طروادة المعلومات QQ تسجيل الدخول على الجهاز، معلومات محددة بما في ذلك: عنوان IP، اسم الجهاز، وقت تسجيل الدخول، والوقت من خط التجميع، عدد QQ، سجل QQ دردشة ملفات وقت قياسي.

QQ طروادة يسجل المعلومات

البيانات الأساسية طروادة

ووفقا لإحصاءات حصلت الخلفية لدينا، فإننا يمكن أن نرى اختطفت ما مجموعه 7.5 مليون جهاز كمبيوتر، وذكرت هذه البيانات الحاسوبية نحو 2.2 مليون نسمة (اعتبارا من 16 يناير 2019):

قاعدة بيانات للمعلومات العودة

بعض مقاهي الانترنت المتضررة والمعلومات المدرسية

من خلال عثر قاعدة البيانات الإحصائية للIP حيث شكلت قوانغدونغ IP لتصل إلى 45.02 في المئة، تليها هونان 6.78، 4.98، جيلين، وخنان، 4.8، 4.52 فى قوانغشى. توزيع معين كما هو مبين أدناه:

معدات توزيع عدوى منطقة

معلومات التتبع

وفقا لتحليل معلومات قاعدة البيانات، وجدنا أن عصابة طروادة استخدمت متعددة المراحل نشر وضع وكيل طروادة، وتخزين اسم اختطاف اسم نطاق الصفحة، هي "** تشنجيانغ شبكة تقنية المحدودة" كان الرقم القياسي:

المعلومات الوكيل في قاعدة البيانات

اسم المجال اختطاف صفحات تخزين المعلومات قياسية

وفقا للمعلومات العامة، يمكننا أن تحقق الشركة الموظفين الرئيسيين والهيكل المؤسسي:

** شبكة والتكنولوجيا المحدودة تشنجيانغ هيكل الشركة والشخص الرئيسي المسؤول

ملخص

مراقبة حاليا لحصان طروادة زرع الرئيسي لاختطاف موقع على شبكة الانترنت ومراقبة الاتصالات QQ والمتابعة قد تسمح للمهاجمين أصدر المزيد من البرامج الخبيثة: حصان طروادة مثل القرصنة والفيروسات الابتزاز والإجراءات وأرباح التعدين الأخرى. تشمل أنظمة الخالية من الأقراص هذه عادة أجهزة كمبيوتر متعددة، المضيف مرة واحدة واقعة، وسوف تتأثر الشبكة بالكامل.

360 مركز لتذكير أمن الإنترنت:

1. في مقاهي الانترنت والبيئة العامة الأخرى، ينبغي أن تولي اهتماما خاصا ل، في محاولة لاختيار مسح رمز ثنائي الأبعاد إلى كلمة المرور تجنب الدخول.

2. في محاولة لتجنب مثل هذا الاستخدام العام للبيئة المصرفية عبر الإنترنت، والعمليات التي تنطوي على البيانات الشخصية وغيرها من المعلومات الحساسة.

3. يمكن لمسؤولي الشبكة تحقق ما إذا كان قد تم العبث الجهاز عن طريق دراسة نشوء وDNS HOST، مما أسفر عن مقتل أيضا هذه أحصنة طروادة عن طريق تثبيت 360 من حراس الأمن.

MD5:

b41b87a494dcace1e80d2bb799e27779

ad911af95d591edbff0ffe95b2c9d2b5

9166dc84fb69f1d628e7ec8dbe1dd905

8cbe3c789dde4016fb23c7df3a8d33a0

المضيفين / IP قائمة يختطفون:

HTTP: //www.ntxxz CN / الجمهور / أسيوط / dns_chuanqi.hosts

DNS:

47.97.123 210

* الكاتب: حراس الأمن 360، يرجى تحديد مستنسخة من FreeBuf.COM