来自 DDOS 2021-05-03 10:15 的文章

高防IP_高防bgp_3天试用

假编解码器/假反病毒恶意软件运动,历史上由俄罗斯商业网络(RBN)领导,已经持续了一段时间(这里有一篇博客文章可以追溯到2006年)。Dancho Danchev的博客也经常详细介绍这一活动。虽然这场运动从一开始就没有那么大的变化,但我想我会提供一个今天早上看到的一个案例的概述,以突出它的当前状态。今早的案子使用了LastFM用户档案为布兰妮·斯皮尔斯的性爱录像带做广告:hxxp://www.last.fm/user/BritneySpears33LastFM并不是通过社交网络界面发布恶意软件广告的唯一受害者(其他发布虚假编解码器/AV恶意软件的例子包括其他流行的社交网站:LinkedIn、Hi5、Digg、Scribd和Facebook)。以下是在LastFM中看到的这些广告的更多示例(如果您遵循这些链接,请小心):示例1、示例2和示例3。Shoutbox部分提供了一个链接,以启动“充满乐趣”的观看为毫无戒备的受害者。。。该链接将潜在受害者引导至:hxxp://bigtubeforyou.com/mirolim-video/5.html在浏览器中显示模糊的J哪一个解码收件人:var1=71;var2=var1;if(var1==var2)文件.位置="hxxp://evamendesochka.com/go.php?sid=;sid参数允许客户端循环302次重定向到假代码/AV恶意软件站点,包括:hxxp://showmelovetube.cn/tube.htm?pid=116&sid=299a9chxxp://tinytubetv.com/xplaymoine.php?id=45233,恶意软件下载到:hxxp://tubefreewatch.cn/1/install_plugin.exehxxp://windows-antivirus2.com/download/Inst_116.exehxxp://clearcristalmedia.com/flash-HQ-plugin.45233.exe以上所用域的某些A记录:bigtubeforyou.com网站. 3600,66.36.248.253evamendesochka.com网站. A 66.36.231.29中的2123showmelovetube.cn. 2145,66.36.248.253tubefreewatch.cn. 在66.36.248.253 NS记录中,上述使用的域包括:ns1。kimmusha.com网站. 在66.36.231.29 ns1中为172513。evamendesochka.com网站. 172800在66.36.231.29,web应用ddos防御,看看66.36.0.0/19的rHoishopone.net网站块显示此活动中使用的两个IP地址是专门为“sls-db4p12”网络名称、“svservers”组织刷出的:sls-db4p12网络名称将IP标识为超级.net网络。svservers组织在过去曾被认定参与过垃圾邮件/黑客攻击活动(同样,免费ddos防御vps,可以追溯到2006年)。SvServers是一个俄罗斯专用托管服务:这些重定向/恶意软件域将在被发现和阻止时由恶意软件提供商进行更新(例如,通过Google/browser alerts)。在我写这篇文章的时候,上面三个中有一个在我的浏览器的警报中。幸运的是,对于基于声誉的方案,如Zscaler的页面风险索引,这些ip和SvServers基础设施将被恶意软件提供商使用更长时间。恶意软件示例的检测非常差:Inst_116.exe MD5:c0d2017be29e5383b1a680ef59ed22e0 VirusTotal(5/41): MD5:2d683959e8864707f8f9808c404cd315 virus总计(8/41):最后最有趣的是:安装_插件.exeMD5:cbc1760ac498065235fea17f35eb254b病毒总数(0/41):确定二进制文件被NSIS打包。NSIS是Nullsoft可编写脚本的安装系统,它声明了以下cap能力:最新发布时间最近:2009年12月6日NSIS 2.46.7-Zip在其主页上发布广告,以便能够打开NSIS。通过7-Zip运行文件,防御cc攻击软件,以下文件从NSIS文件中提取:cryptwm97.dll MD5:2a823c8d471c5b7ee394e8bd2d0087f4 VirusTotal(0/41):为73728字节,DDOS防御能力,从Windows DLL导入并利用其功能:gdi32.DLL,kernel32.dll,ole32.dll,shell 32.dll,shlwapi.dll,并导出函数:DllInit和DllInstall运行安装_插件.exe通过沙盒,在受感染的系统上创建了一个MD5与cryptwm97.dll相同的文件,该文件的位置为:%AppData%\atmsyssound\atmsysound.dll其中,%AppData%是一个变量,它引用作为应用程序特定数据的公共存储库的文件系统目录。典型的路径是C:\Documents and Settings\[用户名]\Application Data。恶意软件还修改了注册表项:HKCU\Software\Microsoft\Windows\CurrentVersion\Run,其值为atmsysound=“rundll32.exe”%AppData%\atmsysound\atmsysound.dll所以atmsysound.dll每次Windows启动时运行其初始化函数DllInit。感染后未观察到网络流量。二进制文件中有一个可识别的字符串(除了来自导入的Windows DLL的函数调用):dvyllawnx.dll. 谷歌搜索atmsysound.dll,cryptwm97.dll和dvyllawnx.dll没有结果。虽然二进制文件的确切功能目前还不清楚,但它很可能是某种信息窃取者或类似于Zlob的后门(Zlob一直是这些假编解码器攻击的典型有效载荷)。我计划对有效载荷进行进一步的分析,DDOS防御值什么价格,如果有意思的话,我会在以后的博客文章中分享。一些经验教训: