定義
近年來,網路犯罪和破壞更加趨向於能夠給攻擊者帶來直接或間接的經濟利益,像之前對純技術的追求已經不那么明顯,而隨著黑客技術和黑客工具的普及,使得網路犯罪與破壞的技術門檻降低,許多不法分子利用這些技術進行非法牟利,其中最突出的表現就是Trojan-PSW木馬的大肆傳播。
在用戶不注意的情況下,將木馬程式植入用戶電腦,自動獲取預先指定好的、木馬所有者所感興趣的用戶敏感信息資料,並通過木馬程式將非法竊取的資料傳送給木馬所有者,這樣的木馬程式通常盜取銀行帳號、網路遊戲帳號、信用卡卡號等以及對應密碼,因此被歸類於Trojan-PSW木馬。
Trojan-PSW木馬是隨著網路發展而出現的,當人們感受到計算機以及網際網路給日常生活帶來的便利後,開始傾向於將一些敏感的信息存儲在電腦上或者通過電腦進入網際網路傳送這些信息,這樣就給了不法份子進行“網路盜竊”的條件。他們開始設計一種惡意程式,並通過各種各樣的方式植入用戶電腦,從中搜尋自己需要的資料或者直接截取到用戶輸入的信息,記錄下來後轉發給自己,然後利用盜取的資料從事非法牟取暴利活動。此類木馬往往不需要太多的技術含量,可能利用一些系統漏洞進入用戶系統,不過大多數情況下,是通過誘騙用戶點擊某個網站連結,或者直接通過即時聊天工具傳送木馬程式給用戶,當用戶運行木馬程式或者訪問過惡意連結後就會間接感染該木馬。
特點
Trojan-PSW木馬在網路上已經出現了好幾年,而且引發的安全事件以及犯罪行為都在不斷增加,其破壞不容小覷。
究竟該類木馬如何植入用戶電腦?
如何在用戶電腦中獲取到敏感信息呢?
究竟木馬作者所感興趣的敏感信息有哪些?
當獲取到信息後,又是如何將信息傳送給木馬所有者呢?
下面就是總結出的一些Trojan-PSW木馬特點:
1.利用“社會工程學”等手段侵入用戶電腦
木馬相對於蠕蟲來說,缺乏主動傳播性,木馬的所有傳播行為都是有人為參與,而不像蠕蟲那樣不需要人工干預,可以自發地搜尋可感染目標。再有木馬比較有針對性,通常是種一對一或者一對多的入侵行為,而蠕蟲是一種無法預測、不能控制的多對多的入侵。
由於木馬的這樣特點,使得木馬的傳播與其他病毒有一定的區別,但大多都利用了一些“社會工程學”的技巧:
(1)利用系統漏洞直接傳播
用戶電腦本身存在系統漏洞,如作業系統漏洞或者是IE瀏覽器漏洞等,都可以被不法分子利用,直接將木馬程式複製或者下載到用戶電腦並進行安裝。
(2)利用即時聊天工具誘惑傳播
據統計,這種傳播方式最為有效,也是木馬所有者慣用伎倆,即時聊天工具的普及給了他們傳播木馬程式的媒介,且利用了人們的好奇、貪小便宜的心理以及對好友不設防的薄弱思想,通過傳送一段具有誘惑性內容的訊息,附帶一個連結,誘使用戶點擊訪問。一旦訪問,就會自動將木馬程式下載到用戶機器並運行起來。
(3)利用網站、論壇欺騙傳播
木馬程式所有者通常會在一些音樂網站或者知名論壇發布一些虛假訊息,如一些小工具、惡意網站地址,欺騙用戶說可以獲取何種利益,其中就安放了一些木馬程式,等待用戶下載運行。
(4)利用電子郵件強行傳播
木馬所有者傳送附帶木馬程式的電子郵件,郵件主題比較吸引人,使用戶瀏覽附屬檔案,從而感染木馬。
2.竊取敏感資料的方法
木馬程式成千上萬,但其竊取資料的手段大致可以歸類為以下幾條:
(1)搜尋檔案
通常重要的信息可能存在幾類檔案中,比如.txt文本、.doc文檔、.xls表格等等,那么木馬作者可能就會讓木馬程式自動搜尋用戶電腦上可能記錄了關鍵信息的檔案,從中獲取字元串,並記錄在自己的日誌檔案里;此外竊取密碼的木馬針對性比較強,如針對於某一個網路遊戲、某一種商業軟體,其記錄關鍵信息的位置往往也固定於一些檔案之中,通過遍歷檔案,搜尋其中關鍵字元,也同樣能夠獲取到有用信息。
(2)鍵盤截取
這類木馬功能較為簡單,不針對各類檔案,而直接針對於用戶輸入信息的關鍵設備——鍵盤。木馬運行後,會將用戶敲擊鍵盤的順序和內容記錄下來,存為一個文本,其中可能就包括了用戶的一些常用的帳號和密碼,成功率也比較高。
(3)檢測有效視窗
當木馬檢測到某個程式的視窗為當前有效視窗時,其會啟動記錄功能,將用戶輸入到視窗的信息完整記錄下來,例如檢測傳奇客戶端視窗。
(4)查找cookie信息
用戶在登入一些網頁時會產生一些cookie信息,其中可能包含了一些像用戶名及密碼一類的關鍵信息,木馬程式會讀取cookie檔案,從而獲得有效信息。
3.竊取信息的種類
前面提到Trojan-PSW木馬的使用通常為了獲取非法的經濟利益,這些經濟利益的來源就是木馬做竊取到的重要信息資料,安天CERT整理近幾年Trojan-PSW木馬所涉及到的敏感信息資料:
(1)網路銀行類
像工商銀行、交通銀行、商業銀行、招商銀行、農業銀行、中國銀行等指明國內銀行的帳號密碼以及信用卡等業務的相關資料。
國外的情況也類似,主要設計到集中信用卡的信息竊取,如Visa、MasterCard等。
(2)網路遊戲類
隨著網路遊戲近幾年的飛速發展,其擁有的玩家也越來越多,遊戲所製造的網上財富也日益增加,一時間,大量木馬瞄準了這塊風水寶地。因此也出現了大量針對於網路遊戲的木馬,像傳奇盜號的木馬已經成為一個家族——Trojan-PSW.Win32.Lmir,變種不計其數。通過獲取玩家的遊戲帳號和密碼,木馬所有者或將玩家人物角色賣出,或將玩家高級裝備在遊戲中出售,從而獲取高額“利潤”。通常他們都是在獲得該裝備後,迅速把裝備轉移到他在該區申請的遊戲帳號上面,進行黑貨轉移,並迅速以現金進行交易,等遊戲玩家申請完,整個交易已經早早的交易完畢,這同時也指出了網路法定關於虛擬財產方面的定罪的空白。
(3)網路通行證類
通常指一些論壇或者電子信箱的登入帳號和密碼,竊取這些帳號後,能夠獲得其中的有價值資源,或者冒充被盜人進行一些非法活動。
(4)聊天工具類
諸如QQ、MSN等著名聊天工具,也是此類木馬及木馬作者垂涎的獵物,一個好的QQ號碼能夠在網上賣到很高的價錢,這其中的利益就是他們行竊的原動力。
(5)商業機密類
商業競爭激烈,如果能夠獲得對手的關鍵資料,那么就可能贏得一場艱難的商業戰,而木馬獲取商業機密類信息所“賺”來的利潤也是最高的。
(6)大型軟體類
木馬所有者可能會去針對某款正版軟體的序列號或者某遊戲的CD-KEY進行盜竊,將這些資源賣給那些想使用正版,但苦於不能註冊的用戶。
4.信息回收方式
當木馬竊取到大量信息後,會在用戶電腦產生記錄,隨後會通過幾種常用的方式傳送給木馬的“主人”,我們稱之為信息回收過程,下面就是幾種木馬常用的信息回送方式:
(1)HTTP伺服器
木馬所有者建立一個HTTP伺服器,接受從木馬程式反饋回的訊息,通常木馬程式使用get方式將訊息發到伺服器。
(2)FTP伺服器
木馬所有者通常會在一台電腦上搭建一個FTP伺服器,並配上公網IP,然後在自己的木馬程式中事先設定好,這個伺服器地址。一旦木馬獲取到資料後,就主動連線此伺服器,將資料上傳,而無須人工操作。
(3)SMTP伺服器
木馬所有者會在木馬程式中設定一段代碼完成傳送電子郵件功能,將記錄信息以電子郵件的方式傳送到病毒所有者的信箱中,或直接將信息寫為郵件正文,或作為附屬檔案進行傳送。
(4)TFTP伺服器
類似於FTP伺服器,只不過類型不一樣,此類伺服器上傳小檔案,尤其像記錄少量信息的文本檔案,有一定的速度優勢。
(5)IRC伺服器
通過IRC伺服器中的DCC命令也可以傳送檔案,木馬所有者預先告訴木馬當獲得信息後連線到某個特定的IRC地址,並使用DCC命令將檔案傳送到所有者手上。
(6)後門功能
類似於後門程式,在感染該木馬的電腦上開啟一個連線埠,或者直接架設一個上面(1)、(2)、(3)中提到的伺服器,等待用戶自行下載木馬檔案。
典型分析
1.Trojan-PSW.Win32.Lmir.lq(傳奇天使)
病毒標籤:
病毒名稱:Trojan-PSW.Win32.Lmir.lq
中文名稱:傳奇天使
病毒類型:木馬
危害等級:中
檔案長度:62,525位元組
感染系統:windows9x以上的所有版本
編寫語言:MicrosoftVisualC++
病毒描述:
傳奇天使是專門盜取傳奇賬號的木馬,感染後傳奇天使後,該病毒會竊取傳奇玩家的區名稱和ID名稱,密碼,及登入伺服器。感染該病毒後會在系統目錄下生成病毒相關檔案winker.exe或winker.dll,搜尋反病毒及安全軟體的進程,找到後便將該進程中止,通過修改註冊表,啟動服務,並隨系統同時啟動。
行為分析:
1)修改註冊表
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
添加鍵值:"默認"="%Windir%winker.exe"從而達到隨系統啟動的目的。
2)在系統目錄下釋放檔案winker.exe或winker.dll。
3)關閉如下進程:天網防火牆個人版,金山網鏢2003,瑞星防毒軟體。
4)修改註冊表,調用kernerl32.dll的RegisterServiceProccess,從而註冊為服務。
2.“網銀大盜”
病毒名稱:網銀大盜Ⅱ
病毒類型:木馬
病毒大小:16284位元組
傳播方式:網路
壓縮方式:AsPack
該木馬盜取幾乎涵蓋中國當時所有個人網上銀行的帳號、密碼、驗證碼等等,傳送給病毒作者。此木馬與4月份截獲網銀大盜有異曲同工之處,但涉及銀行之多,範圍之廣是歷來最大的,不但給染毒用戶造成的損失更大、更直接,也給各網上銀行造成更大的安全威脅和信任危機。
具體技術特徵如下:
(1)病毒運行後,盜取的網上銀行涉及:
銀聯支付網關-->執行支付
銀聯支付網關
中國工商銀行新一代網上銀行
工商銀行網上支付
申請牡丹信用卡
招商銀行個人銀行
個人網上銀行
中國建設銀行網上銀行
登入個人網上銀行
中國建設銀行
中國建設銀行網上銀行
交通銀行網上銀行
深圳發展銀行帳戶查詢系統
深圳發展銀行 個人銀行
深圳發展銀行 個人用戶申請表
深圳發展銀行:
民生網個人普通版
民生銀行
網上銀行--個人普通業務
華夏銀行
上海銀行企業網上銀行
上海銀行
首都電子商城商戶管理平台
首都電子商城商戶管理:
中國線上支付網::IPAY網上支付中心
中國線上支付網商戶
招商銀行網上支付中心
招商銀行網上支付
個人網上銀行-網上支付
(2)病毒算機中創建以下檔案:
%SystemDir%\svch0st.exe,16284位元組,病毒本身
(3)在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中創建:
“svch0st.exe”=“%SystemDir%\svch0st.exe”
“taskmgr.exe”=“%SystemDir%\svch0st.exe”
(4)病毒運行後會根據IE視窗標題欄判斷是否為網上銀行頁面,如果發現上述提到的銀行後,病毒立即開始記錄鍵盤敲擊的每一個鍵值,記錄鍵值包括:
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
{BackSpace}{Tab}{回車}{Shift}{Ctrl}{Alt}{Pause}
{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}
{Insert}{Delete}{Del}{F1}--{F12}
{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}
;:=+,/?`~][{\ ]}'
(5)病毒截取到鍵盤值後,會形成信息發到指定http://*****.com/****/get.asp。其信息如下:
http://*****.com/****/get.asp?txt=××銀行:
(6)病毒開啟3個定時器,每隔幾秒鐘搜尋用戶的IE視窗,如果發現用戶正在使用上述銀行的“個人網上銀行”的登入界面,則嘗試記錄用戶鍵入的所有鍵值,然後把竊取到的信息通過get方式傳送到指定的伺服器。
3.“證券大盜”
該木馬可以盜取多家證券交易系統的交易帳號和密碼。
具體技術特徵如下:
(1)病毒運行後,將創建自身複本於:
%WinDir%\SYSTEM32.EXE,201216位元組
(2)在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
(3)木馬運行時尋找一些包含著名券商名稱的視窗標題,如果發現就開始啟動鍵盤鉤子對用戶登入信息進行記錄,包括用戶名和密碼。
(4)在記錄鍵盤信息的同時,通過螢幕快照將用戶登入時視窗畫面保存為圖片,存放於:
c:\Screen1.bmp
c:\Screen2.bmp
(5)當記錄指定次數後,將3,4中記錄的信息和圖片通過電子郵件傳送到webmaster@****.com。
(6)傳送成功後,病毒將自身刪除,但4中生成的.bmp圖片並未被刪除。
4.Trojan-PSW.Win32.QQRob(啊啦大盜)
啊啦大盜是一個竊取QQ密碼的經典木馬程式,當感染該病毒後,會出現無故彈出一些網頁廣告,使得某些反病毒軟體不能正常運行,QQ密碼丟失等現象。
具體行為分析:
1.該木馬隱藏於一個畸形的CHM檔案中,打開這個CHM檔案,木馬就會被自動釋放出來並且得到執行;
2.木馬被釋放到%SYSTEM%目錄,名為“NTdhcp.exe”,具有“隱藏”、“系統”和“唯讀”屬性;
3.修改註冊表,在註冊表啟動項
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下,
添加如下值:"NTdhcp"="%SYSTEM%\NTdhcp.exe"
4.刪除大量反病毒軟體的在註冊表啟動項中的值:
KAVPersonal50RavMonRavTimerKvMonXPiDubaPersonalFireWall
KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAVCfgWiz
MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe
VirusScanOnlineVSOCheckTaskNetworkAssociatesErrorReportingService
KavStartKWatch9x
5.設定註冊表中下列各項的“Start”值為4,從而禁止這些反病毒服務程式:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kvsrvxp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kpfwsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCSETMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SymantecCoreLC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcshield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
6.監視禁止以下反病毒進程:
FireTray.exeUpdaterUI.exeTBMon.exeSHSTAT.EXERAV.EXERAVMON.EXE
RAVTIMER.EXEKVXP.KXPKVCENTER.KXPIparmor.exeMAILMON.EXE
KAVPFW.EXEKmailMon.EXEKAVStart.exeKATMain.EXETrojanDetector.EXE
KVFW.EXEKVMonXP.KXPKAVPLUS.EXEKWATCHUI.EXEKPOPMON.EXE
KAV32.EXECCAPP.EXEMCAGENT.EXEMCVSESCN.EXEMSKAGENT.EXE
EGHOST.EXEKRegEx.exeTrojDie.kxpKVOL.exekvolself.exeKWatch9x.exe
四、Trojan-PSW木馬防範
Trojan-PSW木馬的出現標誌著網路攻擊事件已經不再是單純的技術突破,而更傾向於經濟利益的獲取,如何去防範這類木馬的破壞行為已經成為人們日益關注的問題了。
1.保持高度的警惕性,不要輕易點擊網上的連結,在接受到檔案後,先使用防毒軟體進行檢查。
2.經常檢查電腦狀態,是否有可疑進程運行、是否有不熟悉的檔案、啟動項和註冊表鍵值、是否有不正常的網路連線行為、是否被開放不熟悉的連線埠等。
3.妥善存儲帳號密碼一類的敏感信息資料。
4.在做網上交易的時候,儘量使用軟鍵盤操作,有能力的,還是建議使用銀行開發出的u盾或其他移動存儲設備。
5.不去訪問一些小的網站,以免被種植上木馬,勤升級病毒庫和及時打微軟或linux系統的補丁。
綜述
隨著個人利益的追求最大話,越來越多的技術性選手開始走向黑色經濟那邊,他們將更多的木馬和底層黑客工具進行捆綁,開發出免殺的DLL木馬並和盜號木馬進行合併,組成新型的黑客攻擊工具。從以上的這些分析的數據來看,對手的編寫水平是在突飛猛進的增長,對我們也是一個強大的考驗,這種盜號木馬的出現,更說明了他的背後有很廣闊的市場,有很強大的地下交易市場,所謂治病需除根,呼籲有關部門還是要嚴查這些地下市場,切斷其根部,斷了它那源源不斷的黑色血液,在這裡也給那些剛出校門的或者還在校園裡面,平時喜歡使用一些黑客工具的人,從最近幾個朋友給我聊天和詢問的情況來看,紅狼小組開發的這個遠程控制很受歡迎,對於個人用戶來說十分有效,但是,在這裡我忠心的告訴你們,不要以為會玩幾個黑客工具就能當黑客,真正的黑客根本不會去無聊到黑個人機器,學校伺服器等,可能由於一些愛好和興趣,早先黑過一些機器,但是黑完以後他也要面臨巨大的代價,請你們把精力用在學習上,不要幻想著開發一個病毒,黑下一個知名站點而覺得能一下成名,“錢”途無量。
