高清无码!比鬼片还刺激!且听“诡娃”远控的这首惊魂曲

本文原作者:Ken

近日,360云安全系统发现一款名为“诡娃”的远控木马,正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外,还会通过控制指令让中招机器弹出惊悚的鬼怪flash动画,再加上动画里突如其来的尖叫声,骇人程度不输恐怖大片!

经分析,”诡娃”是基于Njrat 0.7修改。(Njrat,又称Bladabindi,该木马家族使用C#编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容、键盘记录等,也可以盗取受控端的浏览器里保存的密码信息等内容。此外,还具有远程屏幕抓取,木马客户端升级等功能。Njrat采用了插件机制,通过使用不同的插件来扩展新的木马功能。)

被控端木马程序的总体代码结构如下图所示:

图1

创建互斥体,保证只运行进程的一个实例,在这里互斥体名称为:Windows Update

图2

图3

木马的Main函数入口调用了Ok类的ko方法,该方法中首先对连接远端的地址及端口进行

特殊字符替换再Base64解码后得到连接的地址及端口:

特殊字符替换相关代码:

图4

连接远程地址端口:

图5

图6

图7

进行特殊字符替换后再Base64解码最终得到通信地址为:212.115.232.229:5552, 最终njRat会与该地址进行通信执行控制端发送的各种指令。

图8

通过其代码可以看出其具备执行入侵者的指令对中木马机器进行以下一些操控:

  • 更改Windows桌面壁纸;
  • 关闭或重新启动计算机;
  • 用指定的文本显示系统消息;
  • 更改鼠标左右按键;
  • 使用语音合成器对其指定的短语进行播放;
  • 隐藏或重新打开Windows任务栏;
  • 打开或关闭光驱;
  • 打开或关闭显示器;
  • 在浏览器中打开一个页面(内置了3个恐怖flash动画地址);
  • 读取,安装或删除系统注册表的指定键值;
  • 接收并向控制服务器发送屏幕截图;
  • 下载并运行指定的程序文件;
  • 更新或删除木马的程序文件

这里面最危险的功能之一是内置的键盘记录器,它可以记住中招用户的键盘操作。并根据命令,将这些数据回传到攻击者的服务器:

键盘记录功能:

键盘记录部分代码片断:

图9

图10

图11

其它功能模在此不一一列举;

另外这里发现一个有趣的现象:如果服务端下发三个特殊指令:中木马机器将会自动弹出三个恐怖吓人的Flash动画并伴有极为恐怖的声音:

图15

在木马普遍追求商业利益的今天,这类以恐吓或让用户难堪的恶作剧手段已不常见。但值得注意的是,该木马具备随时更新升级的功能,其背后是否还隐藏着其他破坏企图也未可知。

对抗该类木马,需要弹幕强力护体模式,目前,360安全卫士无需升级就能强势拦截“诡娃”木马,温馨提醒各位网民,尤其是胆小用户,尽快开启防护,免受惊魂。

图16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

WiFi安全漏洞:WPA2安全协议遭破解的影响分析

背景介绍 10月16日研究员Mathy Vanhoef公布了对WPA2的秘钥重放重装攻击KRACK ,攻破了十几年没有安全问题的WPA2协议。 WPA2协议 W...

26610
来自专栏企鹅号快讯

Brocade为何认为FC是NVMe over Fabric中最好的Fabric?

Brocade最近发表了对NVMe over Fabric理解和观点,认为FC Fabric相比以太网具有很多优势,并且FC聚焦数据中心数据传输和交换,具有更好...

2399
来自专栏贾老师の博客

【笔记】读 JeffDean 分布式系统

1423
来自专栏FreeBuf

宝马汽车安全漏洞详解:古有伯乐识良驹,今有黑客擒宝马

ADAC(全德汽车俱乐部)想深入了解内嵌移动网络调制解调器的汽车如何向制造商发送数据。C'T(德国计算机技术类的杂志)为ADAC介绍了一位安全专家。 这位专家深...

2145
来自专栏V站

图片API丨网站如何接入Bing每天一更背景?

Bing,即必应。常常有些站都是千篇一律的底色背景,毫无新意,导致的即是访客一个一个访你友链都不访那些死鬼站长!这就是Bing每天一更背景,也十分的骚,需要的上...

2517
来自专栏腾讯社交用户体验设计

Merry Christmas with QQfamily

1626
来自专栏知晓程序

海量高清二次元壁纸!快来把老婆抱回家吧

今天,知晓程序(微信号 zxcx0101)要给广大动漫迷们,推荐一款名叫「Soda 壁纸」小程序,导航用的是颜文字,图库里全是高清壁纸,十分带感。

882
来自专栏腾讯社交用户体验设计

ISUX 2018 Calendar 获奖名单

731
来自专栏Golang语言社区

Oculus + Node.js + Three.js 打造VR世界

Oculus Rift 是一款为电子游戏设计的头戴式显示器。这是一款虚拟现实设备。这款设备很可能改变未来人们游戏的方式。 周五Hackday Showcase的...

5098
来自专栏飞总聊IT

大数据那些事(11):复活的LSM-Tree--BigTable的\b系统实现(修)

修正一些小错误。 BigTable是一个非常复杂的系统,发表的论文面面俱到,但是每个方面都写得并不是很清楚。所幸Google开源了LevelDB这个Key-Va...

3855

扫码关注云+社区