Geçen yıl Haziran ayında, 360 güvenlik görevlisi "Lingyin" Truva Atı'na ( erken uyarıda bulundu. Son zamanlarda, bu Truva atları grubu yeniden etkin hale geldi ve birçok netizenden Truva atları tarafından müdahale edildiklerine, tarayıcılarının tahrif edildiğine ve bazı yazılımların silindiğine dair geri bildirim aldık. Bu Truva Atı'nın en son aktarım kaynaklarının bir analizini yaptık.
yaymak:
Bu tür bir Truva atının yayılması, çeşitli eklentilerin paketlenmesi ve değiştirilmesi, Truva atı programlarının bir araya getirilmesi ve ardından ağ diskleri ve çeşitli oyun forumları aracılığıyla yayılması yoluyla devam etmektedir.
Communicator'ın dosya listesini analiz ederek, yazarın bu Truva Atı'nı yaymak için düzinelerce eklenti paketlediğini görebilirsiniz:
Yaklaşık 400 dosya paylaşım kaydı vardır:
Kurulum:
Truva Atı yükleme işlemi sırasında 360 Antivirus, 360 Security Guard ve çalışan diğer güvenlik yazılımlarının olup olmadığını tespit edecek, varsa Truva atı yüklenmeyecektir.
Bu aynı zamanda Truva atlarının eklenti paketleme yoluyla yayılmasının gerekliliğinin nedenlerinden biridir.Eklentileri kullanırken, kullanıcılar Truva atına bir şans vermek için virüsten koruma yazılımını kapatabilir!
Anti-virüs kapatıldığında eklenti, j92dz.win:8080/bag/jc_102.zip dosyasını yerel olarak yürütmek için Truva atını indirmeye başlar.
Analiz sırasında yakalanan indirilmiş Truva atları:
Truva atı bir çift DLL korsanları yayınlar
Yüklü Bileşenleri kaydederek önyükleme otomatik başlatmayı gerçekleştirin:
Bundan sonra, Truva atı svchost.exe'yi başlatır ve kilitlenir (360 yüklüyse, 360DeskAna.exe'yi başlatmaya ve enjekte etmeye çalışır)
Svchost.exe'nin belleğine kötü amaçlı kod yazın ve işlemi geri yükleyin
zarar:
Truva atı düzinelerce tarayıcı kısayolunu değiştirecek ve gezinme ekleyecektir.
Görev çubuğuna kısayolu kilitle
2. Sistemde yüklü olan bazı yazılımları silin.
Truva Atı, kayıt defteri aracılığıyla ADSafe kurulum dizinini arayacak ve bulunursa, ADSafe.exe ve ADSafeSvc.exe işlemlerini sonlandıracak ve tüm ADSafe kurulum dizinini silecektir (muhtemelen ADSafe'in tanıtım navigasyon gelirini etkilemesini önlemek için)
3. Yazılım tanıtımı yapın
Truva atı sistemde kalacak ve bulut kontrol listesine düzenli olarak erişecek ve şifrelenmiş listeyi% Temp% \ data.tmp dosyasına indirecektir.
Şifre çözüldükten sonra promosyon listesini görebilirsiniz:
Bunların arasında, başlangıçtaki sayfa, tarayıcı ana sayfasını değiştirmek için kullanılan bir tanıtım gezinme sayfasıdır.
İçeriğin ikinci yarısı, bulutta tanıtılabilen promosyon yazılımlarının bir listesidir.
4. Truva atlarını güncelleyin ve koruma yazılımına karşı savaşın
Truva Atı, birden çok yapılandırma dosyasını% windir% \ font dizinine kaydeder
HX_Protect.ttf
ZT_Exe.ttf
ZT_Dll.ttf
HX_EXE_Pid.ttf
Bunlar arasında, ZT_Exe.ttf ve ZT_Dll.ttf dağıtımı, kullanılan exe ve Trojan dll'nin yollarını kaydeder.
HX_EXE_Pid.ttf Bu, mevcut Truva atı işleminin PID'sini kaydeder
HX_Protect.ttf Bu kayıt şu anda değiştirilmiş ana sayfadır
Truva atında bir dizi Truva atı güncelleme adresi de bulunur:
Geçerli güncelleme adresi, işlev açısından daha önce yüklenmiş Truva atlarıyla aynı olan Thundershell.exe'nin bir dizi DLL korsanlığı programıdır.
Aynı zamanda, Truva Atı bir döngüde iki pencere arayacaktır. "360ClassUploadFileNotify" sınıf adında bir pencere bulursa, düğmesine bir fare tıklamasını simüle edecektir. Tahmin, pencereden çıkmaktır.
"TXGuiFoundation" sınıf adına sahip bir pencere bulursanız, onu gizleyin
Ek olarak, bu Truva atının, İnternet kafe ortamında veya sistemde bir gölge sistemi olup olmadığını belirlemek için işlem listesini de kullanacağını gördük.
İnternet kafe sisteminde ise, bazı kaçırma işlevleri yerine getirilmeyecektir.
İnternet dışı kafe sistemlerinde, mydll.dll serbest bırakılacak ve gizli olarak ayarlanacak
Tamamlandıktan sonra dll'yi yükleyin
Dll, esas olarak tarayıcı korsanlığı için kullanılır, ancak Truva atı çağrısındaki bir hata nedeniyle çağrı çökecektir.
Geri iz:
Bu Truva Atı, 30 Nisan'da ortaya çıktığından beri birçok büyük ölçekli yayılma yaşadı. Aşağıda, saydığımız Truva Atı'nın yayılma eğilimi gösterilmektedir.
CC alan adının kayıt bilgileriyle sorgulama
Alan adının şu şekilde olduğunu görebilirsiniz:
Ana kuruluş tarafından tescil edilen Yantai Runqiu Network Technology Co., Ltd.
Aynı posta kutusu, hongrensoft.cn etki alanı adını da kaydetti, ancak trafik yüksek değil
Bu şirketin resmi ana sayfasında (Yantai Runqiu Network Technology Co., Ltd.) bir iletişim QQ bulduk ve aynı iletişim bilgilerini Truva Atı'nı yayan ağ diskinin altında da bulduk.
Alan adı kayıt bilgileri ve web sitesi bilgileri zorunlu olarak doğru olmadığından, Truva atının kontrolü, dağıtıcının bilgileriyle tutarlı olduğundan, 456 ağ diskinin bakımcısının ve "Lingyin" Truva Atı'nın bakımcısının aynı grup olması gerektiğini tahmin ediyoruz.
Ek olarak, bulduğumuz yayılma kaynakları, kayıtlı kullanıcı adıyla aynı bakımcı olan 789 Netdisk'i (789xz.com) da içeriyordu.
360 Güvenlik Merkezi, netizenlere eklentiler kullanılırken anti-virüs yazılımının açılması gerektiğini bir kez daha hatırlatır. Anti-virüs yazılımı bir Truva atı olarak tanımlanırsa, tekrar denememelisiniz!
Orijinal makale, yazarlar: 360 Security, Yeniden basıldı: