游戏盾_高防美国vps_无限
本周早些时候,Dorkbot/Ruskill恶意软件的一个新变种攻击了Skype视频通话服务的用户。此恶意软件可影响大量网站和在线服务,并可攻击几乎所有已知的web浏览器,如Internet Explorer、Firefox、Chrome、Opera、Flock和其他程序,个人如何防御ddos攻击,如MSN、wlcomm.exe等!VirusLab分析了这个恶意软件,个人电脑ddos攻击防御,你可以在网络上发表的文章中看到,但是没有一个分析了可以劫持Skype messenger的新模块,而Skype messenger现在对用户构成了更大的威胁。这个模块有一个大约70KB的压缩表单。拆下定制封隔器/装载机后,纯尺寸为16 384b。该模块非常小,ddos速器防御,但包含出现在Skype messenger窗口中的31种已知语言版本的网络钓鱼消息。此本地化基于通过GetLocaleInfo API实现的操作系统语言。绕过返回值后,您可以看到不同的语言突变。
各种语言的钓鱼消息示例:
阿拉伯语(html/js格式):
俄语(html/js格式):
阿拉伯语))
\u044D\u0442\u043E\u043D\u043E\u0432\u044B\u0439\u0430\u0432\u0430\u0440\u0442\u0430\u0440\u0432\u0430\u0448\u0435\u0433\u043E\u043F\u0440\u043E\u0444\u0435\u0433\u043E)
日语(html/js格式):
ちょっとこれはあなたの新しいプロフィールの写真ですか?
\u3061\u3087\u3063\u3068\u3053\u308C\u306F\u3042\u306A\u305F\u306E\u65B0\u3057\u3044\u30D7\u30ED\u30D5\u30A3\u30FC\u30EB\u306E\u5199\u771F\u3067\u3059\u304B\uFF1F
此外,我们发现了这些加密字符串:
与C&C服务器的通信使用以下协议:TCP、IRC、MSNMS、MMS、MMS、MMS、,通过api.wipmania.com了解受感染计算机的地理位置信息。
Dorkbot恶意软件如何劫持Skype messenger
如果单击链接,受感染计算机将成为僵尸网络的一部分,或成为黑客控制的计算机网络的一部分,以执行DDoS(分布式拒绝服务)攻击。DDoS攻击通过向目标网站发送大量流量,直到该网站的服务器超载,从而导致该网站或服务暂时不可用。
Dorkbot恶意软件通过使用相同的"new profile pic"消息联系您的Skype联系人进行传播。这些变体还可以传播其他类型的恶意软件,如勒索软件/锁屏软件,并窃取大量网站的用户名和密码凭据,包括Facebook、Twitter、Google、GoDaddy、PayPal、NetFlix和其他网站。在更深入的分析中,防火墙能防御ddos,先锋!病毒实验室发现了一个有趣的反调试技巧,它使用User32.BlockInput(BlockIt=TRUE),在调试期间禁用鼠标和键盘输入。此恶意软件的其他功能包括键盘记录器、FTP/HTTP/POP3劫持/记录器、SlowLoris和UDP洪泛、html/iframe注入器、dns转换器、sock代理、USB感染、FTP感染、lsass.exe/explorer.exe/winlogon.exe注入器、远程访问和执行、,cc防御试用,等等
第1阶段-查找skype进程
kernel32.CreateToolhelp32Snapshot->kernel32.Process32FirstW->MSVCRT.\u wcsicmp->kernel32.Process32NextW
第2阶段-通过skype API设置应用程序访问
第3阶段-绕过"允许访问"按钮(自动IT样式):
User32.findwindowo(TCommunicatorForm)->User32.findwindowo(tskmain.UnicodeClass)->User32.Findwindow(TZapCommunicator)->User32.ShowWindow(SW_NORMAL)->User32.SetFocus->User32.PostMessageW->User32.SendInput(VK_选项卡>WM_按键下>VK_选项卡>WM_按键下>VK_返回>WM_按键下)
第4阶段-通过Skype API向messenger发送带有受感染URL的假消息
以下是解密Dorkbot的列表恶意软件
iknowthatgirl*/members*
youporn*/login*
members.brazzers.com*
clave=*
b Internal*登录
:2222/CMD_login*
whcms*dologin*
2086/login*
2083/login*
2082/login*
webnames.ru/*用户登录
doster.com/*登录
enom.com/login*
登录
enom.com/login*
和1.com/xml/config*
moniker.com/
登录
nameque*godaddy.com/login*
*alertpay.com/login*
*netflix.com/*ogin*
*thepiratebay.org/login*
*torrenleech.org/*login*
vip file.com/*/sign do*
sms4file.com/*/sign do*
letitbit.net*
what.cd/login*
*oron*
filesonic.com/*login*
login*
login*
filesonic.com/*login*
speedyshare.com/login*
upload.to/*login*
uploadrd=*
*fileserv.com/login*
*hotfile.com/login*
*4shared.com/login*
*netload.in/index*
*freakshare.com/login*
*mediafire.com/*login*
*sendspace.com/login*
*megaupload./*login*
*存款文件./*/login*
*登录易趣*
*officebanking.cl/*登录asp*
*安全.logmein./*登录*
*twitter.com/sessions*
txtPassword=*
moneybookers.*/*login.pl
*runescape*/*weblogin*
*dyndns*/账号
*无ip*/登录
*蒸汽动力*/登录
*hackforums.*/member.php
*facebook.*/login.php
*登录
雅虎.*/*登录
*登录
*直播*/*post.srf
*TextfieldPassword=*
*gmx./*FormLogin*
*fastmail.*/邮件
*bigstring.*/*index.php*
*屏幕名.aol.*/登录
*psp.*/*aol.*/*.psp*
*service=youtube*
*google.*/*ServiceLoginAuth*
*paypal.*/webscr?cmd=.\u login-submit*
*bebo.*/c/home/ajax_post_lifestream_comment
*bebo.
c/profile/comment_post.json
*bebo.*/mail/mailcose.jsp*
*friendster.*/sendmail.php*
*friendster./rpc.php*
friendster./rpc.php*
vkontakte.ru/mail.php*
vkontaktate.ru/mail.php*
vkontaktate.php*twitter.*/*直接消息/new*
*twitter.*/*状态*/更新*
*facebook.*/ajax/*MessageComposer Endpoint.php*
*facebook.*/ajax/chat/send.php*
*FLN Password=*
*Password=*
*Password=*
*Password=*
*Password=*
*密码=*
*登录密码=*
*密码=*
*登录密码=*
*密码=*
*登录密码=*
*密码=*
*密码=*
*登录密码=*
*密码=*
*密码word=*
Skype建议升级至最新版本,并在计算机上应用更新的安全功能。此外,以下链接(即使来自您的联系人)看起来很奇怪或出乎意料是不可取的。
