偽裝“簡單百寶箱”的木馬分析

台北網站建置第1頁偽裝“簡單百寶箱”的木馬分析  1、通過騰訊SOSO搜索推廣,冒充“簡單百寶箱”官網欺騙用戶下載木馬(如上圖1和下圖3),文件名分別為jdbbxsetup.exe、jdbbxV6.0Beta.exe、jdbbx6.0Beta.exe;  圖3:360安全衛士攔截偽裝“簡單百寶箱”的木馬  2、jdbbxsetup.exe安裝過程中會套版網頁設計釋放並運行DNF盜號木馬ltuh.exe,以及《天龍八部》遊戲盜號木馬tlbb.exe。由於DNF帳號與QQ帳號打通,受害用戶的QQ也會因此失竊。jdbbxV6.0Beta.exe的行為與jdbbxsetup.exe基本一致;圖4:jdbbxsetup.exe釋放並運行DNF盜號木馬1tuh.exe  3、DNF盜號木馬ltuh.exe首台北網站改版設計先感染兩個Windows系統文件,通過系統文件加載盜號組件;  4、《天龍八部》盜號木馬tlbb.exe會監視遊戲進程,在遊戲運行後對IE、畫圖、ACDSee等界面截屏並發送到黑客服務器上,以此破解《天龍八部》遊戲密保卡;  5、jdbbx6.0Beta.exe安裝過程中釋放並運行“藍寶石遠程控制”木馬1.exe,以及《天龍八部》盜號木馬台北RWD響應式網頁設計tlbb.exe(分別如下圖5和圖6);圖5:jdbbx6.0Beta.exe釋放藍寶石遠程控制木馬1.exe圖6:jdbbx6.0Beta.exe釋放《天龍八部》盜號木馬tlbb.exe  4、藍寶石遠程控制木馬1.exe植入木馬服務,再訪問網絡連接遠程主機(即黑客控制端),如下圖7和圖8;圖7:1.exe植入木馬服務圖8:訪問網絡連接黑客的遠程主機

source:http://tech.hexun.com/2011-09-22/133618550.html