首页|退出

11月29日病毒播报


发布者:网安网  发布时间:2012/12/4 11:08:00  阅读:27569

远程控制另类用法播报

病毒描述

病毒名称    :  Backdoor/Torr.acn
文件MD5     :  3966A20A6999FAEDCA20EBF153256562
文件大小    :  142,864 字节
编写环境    :  C++
是否加壳    :  否


文档公开级别 : 完全公开


病毒执行体描述:
    Backdoor/Torr.acn 病毒是一个动态链接库文件(DLL),从病毒的特征来看是一款远控控制的原型,但又做了其他的一些修改,对棋牌游戏进行了监控,偷取帐号信息,与中毒的机器进行交互来完成相互之间棋牌帐号信息盗取与游戏币交易。其运行后会对系统进行Host文件劫持,仅仅针对棋牌游戏的网站进行劫持,自己伪造一台服务器,来处理伪造的棋牌网站相关信息,当正常的普通用户在不知道自己感染病毒的情况下访问网站会被暗地里链接到黑客转向的网站,若继续下载里面的游戏客户端进行游戏,在进行棋牌娱乐时就已经被盗取游戏币了,因为手段隐蔽所以普通用户很难发现。


病毒行为流程分析:

一. 传播途径
    通过对Backdoor/Torr.acn的深入分析,发现此病毒的生存仅仅是为了让普通玩家在访问棋牌网站的时候链接到黑客伪造的页面上,而整个页面上只有"大厅下载"的链接是正常的下载链接,其他的均为空链接,黑客伪造网站的时候只对下载大厅的用户进行了劫持,并未对充值做劫持。病毒被运行以后会帮用户电脑建立棋牌的快捷方式,棋牌无论是否安装都会建立快捷方式,并运行棋牌游戏,猜测此病毒第一次进入用户系统是用户通过其他途径下载的安装包捆绑执行。

二、执行流程
    Backdoor/Torr.acn 病毒第一次执行会再用户桌面上创建棋牌游戏的快捷方式,并且运行棋牌游戏进程(GamePlaza.exe)。
游戏默认安装在"C:Program FilesKaiUnion Tech456游戏",
在病毒程序编码过程中此路径是直接写在程序里的并不是动态获得。
会修改Host文件劫持棋牌官方网页。

由于下载游戏大厅的网址为黑客恶意劫持篡改,玩家下载游戏后运行后,导致游戏币被盗取,由于普通用户举报域名有毒,在安全厂商对此网址报毒,也是一个误报。

    Backdoor/Torr.acn 病毒运行起来后,一直在后台对游戏窗口进行监控,如果用户输入密码的窗口弹出来,则开始记录,记录的信息加密后保存在固定位置。并连接远程主机提供交互。


病毒技术要点

    Backdoor/Torr.acn 在对网站域名劫持方面,因为多数安全厂商并未检测当前访问的域名在本地hosts文件中是否有记录,而导致玩家举报的时候对官方的网站进行了误报。是一种手段,现在DNS劫持已经流行起来,在对pc病毒做检测的时候也无法忽视web安全带来的隐患。


病毒清理流程

1. Backdoor/Torr.acn病毒是动态链接库,其本身并不能直接运行,而它又是由游戏正常的进程加载,手动清除对普通用户很困难。
建议下载安全杀毒软件进行系统扫描后方可清除。

【来源:江民科技】


技术支持:  深圳市计算机安全应急服务中心
广东安证计算机司法鉴定所
版权所有 2008-2009 © 中国网络安全保障服务网 All Right Reserved
粤ICP备09101699号-1  

粤公网安备 44030502000970号