专栏首页大数据文摘手把手 | 用Python写成的MCR乐队敲诈者木马:这种操作很朋克!

手把手 | 用Python写成的MCR乐队敲诈者木马:这种操作很朋克!

按要求转载自安全客

作者 | 360安全卫士

几年前,敲诈者木马还是一个默默无闻的木马种类。然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时,各种敲诈者木马也在不断推陈出新,变着花样地出现在分析人员的视野中。

去年,360安全团队就发现了一款使用PHP语言编写的敲诈者木马(具体内容参考《用世界上最好的编程语言写成的敲诈者木马》)。最近,一款使用Python语言编写的敲诈者木马又被发现。面对花样百出的攻击,360的安全分析人员不禁感叹——竟然还有这种操作?

永远的“我的化学浪漫”

7月27日,360的反勒索申诉平台接到了两例反馈,两案例均为26日中毒,而且文件扩展名均被修改为“MyChemicalRomance4EVER”。两位受害人本可逃过一劫,可惜却都是中毒之后才想起安装360安全卫士来加强系统安全防护的……

上述扩展名中的“My Chemical Romance”这个名称,其实是源自一支美国新泽西州的同名朋克乐队。该乐队成立于2002年,十一年后的2013年宣告解散。朋克这种充满了叛逆与不羁的音乐风格向来深受年轻人的喜爱(本文作者作为老年人,此处应有感慨……),所以该木马的作者想来应该也是一个充满着叛逆性格的年轻人吧?

病毒名字起的很“朋克”,但传播方式却颇为老套,无非就是伪装成一些对广大网民比较有吸引力的软件对外发布,诱导大家下载并执行。

比如我们拿来分析的这个样本,就自称是一款叫做“VortexV**”的V**软件。除此之外,还有类似于“PornDownload”、“ChaosSet”、“PanDownloader”、“BitSearch”等等,基本都是广大网友都懂得的各种工具软件。

通过进一步追溯,发现该木马传播早期,可能是来自于一个名为ZeroNet的匿名网络,该网络是一个去中心化的加密网络,显然作者是对隐藏自身信息也是做了比较周密的安排。

木马分析惊现Python语言

言归正传,我们来看下木马本身。和常见勒索木马一样,会加密中毒电脑中的所有常见文档文件,并留下敲诈信息:

而很是与众不同的是,在分析的时候,我们发现这款木马竟然是用Python语言编写了木马脚本,然后再打包成一个exe的可执行程序的。

于是我们尝试使用现有工具对该exe进行反编译,结果喜人——工具成功的对木马程序进行了反编译,其中除了一些Python环境所依赖的库文件之外,核心部分就是一个名为“wub_crypted”的pyc文件。

之后,我们将pyc脚本恢复为py脚本文件,发现脚本本身的内容也是加密过的。再经过两次的Base64解码和一次AES解密,最终我们拿到了木马核心功能脚本的内容。

脚本代码分析

有了明文脚本,功能就显而易见了。

首先,木马会判断自身进程名是否为systern.exe。如果不是,则将自身复制为C:\Users\Public\systern.exe并执行。

之后,木马释放s.bat批处理脚本,关闭各种数据库和web服务及进程。

接下来,就是遍历所有系统中所有文件并加密且留下勒索信息了。当然,为了避开敏感的系统文件,代码有意避开了“C:\Documents and Settings”和“C:\Windows”两个目录。

最终木马会调用系统的wevtutil命令,对系统日志中的“系统”、“安全”和“应用程序”三部分日志内容进行清理,并删除自身,以求不留痕迹。

该木马的亮点是,在加密的文件类型列表中,除了大量的文档类型外,还包括有比特币钱包文件和一些较重要的数据库文件。

而另一个更大的亮点则是——该木马不同于以往的敲诈者木马使用不对称加密算法,而是采用了AES对称加密算法,并且用于加/解密的密钥则是硬编码在脚本中的:“MyChemicalRomance4EVER_tkfy_lMCR”。

用Python脚本写了个敲诈者木马,再打包成exe程序,再费尽周章用匿名网络发不出去,最终因为使用对称加密算法被分分钟破解……惊不惊喜?意不意外?

老生常谈的一些话

1.不要从不明来源下载程序。

2.安装杀毒软件并开启监控。

3.不要相信所谓外挂、XX工具、XX下载器一类的程序宣称的杀软误报论。

这些真的已经算是老生常谈了。不过大家放心,这类木马虽然有些新意,但本质上还是老套的敲诈者木马,360对此类木马可实现无压力拦截。

原文链接:http://bobao.360.cn/news/detail/4250.html

2017年7月《顶级数据团队建设全景报告》下载

本文分享自微信公众号 - 大数据文摘(BigDataDigest),作者:360安全卫士

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 被Nature科学家封杀的P值,到底有什么意义?

    我们在日常生活中做出决定时,总会在心里提前打个“小算盘“——估算一下概率值P,研究者做某项检测,根据概率值P,得出最终的结果;资本家做投资,根据以往数据的统计分...

    大数据文摘
  • TED演讲 | 计算机是怎样快速看懂图片的:比R-CNN快1000倍的YOLO算法

    大数据文摘
  • Pinterest:可视化将是互联网未来的趋势

    大数据文摘
  • 来自云端的木马:“百家”木马集团分析

    0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

    FB客服
  • 木马病毒介绍 Trojans virus backdoor rootkit

    木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源...

    周俊辉
  • 木马到底是什么,看完这个你还说和你没关系吗?

    如果说勒索病毒是当下“最火”的病毒。那“木马病毒”一定是最常见的病毒了。今天我们就来简单聊聊木马病毒。

    用户6477171
  • 计算机木马是如何产生的?原理是什么?

    作为一个从业十几年的程序员来分析下计算机木马原理,计算机木马原来称呼为特洛伊木马,主要流传于古希腊,攻城不对久攻不下,于是让人专门制作了一个体积非常大的马,把士...

    程序员互动联盟
  • CTF实战23 木马攻击技术

    值得注意的是,木马屠城记并非于古希腊诗人荷马的两部著作伊利亚特与奥德赛里记载,而是在罗马帝国时期的诗人维吉尔所写的史诗《埃涅阿斯纪》中, 才第一次被记载

    用户1631416
  • 神话传奇:一款通过卖号在微信群传播的远控木马

    近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情...

    FB客服
  • 腾讯安全:游戏私服捆绑传播挖矿木马,已感染超5000台电脑

    疫情期间,网络游戏迎来流量高峰,游戏客户端也因此成为一些网络黑产攻击和牟利的工具。近日,腾讯安全威胁情报中心检测到黑产通过某网络游戏私服传播挖矿木马和远程控制木...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券