通过facebook传播的比特币挖矿木马

2014-07-07 +3 131009人围观 ,发现 8 个不明物体 资讯

写在前面:

    其实这种木马的利用和传播方式还是很老套的,除了作者在payload里面卖了个萌之外。

正文:

    葡萄牙,比利时,印度,罗马,西班牙等众多国家的facebook用户,正遭到一种新型木马的攻击,这种木马会控制受害者的主机挖掘比特币。

    Bitdefender 公司的安全专家声称,已经有大量的Facebook用户被这种木马所感染。Alexandra Gheorghe在他的blog里面写道:这种木马通过facebook中的私信来进行传播,私信中包含一个1IMAG00953.zip,其中有伪装成jpg文件的恶意文件。这个文件会通过预先设置好的Dropbox账号下载DLL文件,这些文件会链接C&C服务器,并返回一个shellcode。在这个shellcode的payload里面有一段这样的信息。

“Hello people.. :) <!– Designed by the SkyNet Team –> but am not the f*****g zeus bot/skynet bot or whatever piece of s**t.. no fraud here.. only a bit of mining. Stop breaking my b***z..

    大概意思就是说,我就是挖挖矿,没有别的恶意功能,手下留情之类的。shellcode会引发第二个DLL的下载,同时开始挖矿流程。

    但是Bitdefender 的安全专家发现了这个木马很多其他的恶意功能,而挖矿只是这些功能之中的一小部分,这个木马每过几个小时就会变换shellcode的内容,在受害主机上执行任何内容。

    Facebook的用户,最好还是小心奇怪的私信内容,即便他是你的某个好友发送给你的。

发表评论

已有 8 条评论

取消
Loading...
css.php