安全通告
近日,亚信安全截获了新型间谍木马Javacrypt,该木马不仅会窃取用户浏览器和Email信息,还会窃取被感染系统中Minecraft游戏账号信息,并删除steam游戏平台文件。其通常通过垃圾邮件以及恶意站点传播,亚信安全将该间谍木马命名为:TSPY_MSILOG.SM。
攻击流程
病毒详细分析
母体文件Javacrypty(windowsupdate.exe、windowsupdate.exe、Sys.exe)分析
亚信安全沙箱DDAN已经可以检测该病毒:
使用双DOS标题以避开分析,亚信安全DDAN能成功检测到相关行为:
加载加密的字符串,以便后面解密调用,此字符串经过base64和rijndaelmanaged加密:
读取备份病毒的目录信息,写入sysinfo.txt。
随后备份病毒至roaming文件夹并重命名为windowsupdate伪装成系统更新软件,并调用process.start运行。
把pid和文件位置写入pid.txt和pidloc.txt。
调用解密函数解密字符串ftp、smtp、php等相关信息,为后续窃取信息并上传做准备。
ftp解密及用户名和密码:ftphost=ftp20.hostland.ru
Phplink和passstring解密,地址已能被web信誉拦截。
Smtpstring解密:
解密密钥位
获取中毒机器IP