温州信息港

当前位置:

木马强锁系统敲竹杠360全面拦截

2019/05/15 来源:温州信息港

导读

江苏的段先生在群里下载了一款号称免费刷Q币的软件后,电脑再开机就没法进入系统,而且弹出一个提示,获得开机密码请联系********,同时索要

江苏的段先生在群里下载了一款号称免费刷Q币的软件后,电脑再开机就没法进入系统,而且弹出一个提示,获得开机密码请联系********,同时索要15元解锁费,这让段先生非常郁闷,只好通过微博向友们求助。

经过朋友指点,段先生才知道自己电脑感染了一款名为敲竹杠的木马病毒,幕后黑手就是他下载点击的免费刷Q币软件。采访360安全中心获悉,近期敲竹杠木马活跃度确切明显增加,提醒用户开启360安全卫士就不会中招,千万不要为了刷Q币而不顾安全软件报警冒险放行木马。

根据360工程师介绍, 敲竹杠木马主要通过群和邮件传播的,经常会假装成CF免费刷枪无毒软件,免费刷Q币等极具诱惑性的标题,一旦用户点击运行,系统登陆密码就会被篡改。以下是详细的技术分析:

遭遇敲竹杠木马后,开机的时候会出现类似以下的信息。

分析发现,这一类木马主要是通过net命令来修改管理员的密码,然后利用设置注册表相干的信息来通知受害人联系木马作者的号。

不过,这种手段很快就被安全软件拦截查杀了,因而木马作者通过第二种方法去达到目的,就是使用NetUserSetInfo这个api来设置登陆密码。

通过对以下函数断点。断了两次,一次是名字,一次是密码:

在msdn上查到:

1 NET_API_STATUS NetUserSetInfo(

2 LPCWSTR servername,//当为Null的时候表示使用本地计算机。

3 LPCWSTR username,//指向一个字符串指针,如0016ACE0,指向的就是字符串Administrator。

4 DWORD level,//不同的level,指明buf中存放不同的数据信息

5 LPBYTE buf,//存放数据。

6 LPDWORD parm_err );

level参数描写

level

[in]

Specifies the information level of the data. This parameter can be one of the following values.

当level中的参数为1011,Specifies the full name of the user. The buf parameter points to a USER_INFO_1011 structure.

1 typedefstruct _USER_INFO_1011 {

2 LPWSTR usri1011_full_name;

3 } USER_INFO_1011,

4 *PUSER_INFO_1011,

5 *LPUSER_INFO_1011;

可以发现,0016CE88在内存中有以下信息:

通过电脑的系统工具直接修改:

当level中的参数为1003,Specifies a user password. The buf parameter points to a USER_INFO_1003 structure.

1 typedefstruct _USER_INFO_1003 {

2 LPWSTR usri1003_password;

3 } USER_INFO_1003,

4 *PUSER_INFO_1003,

5 *LPUSER_INFO_1003;

在0012FC24指向的就是这么一个结构;而在内存中对应的unicode:bu。可以判定,被锁的密码是bu。

现在 输入bu后,电脑登陆成功。

针对以上敲竹杠木马的攻击手段,360安全卫士都能够全面拦截查杀此类木马,即便是黑客制作出的木马变种,只要它去篡改系统登陆密码,360就会发出警报,提示用户选择阻挠:

由于部份友没有使用专业安全软件,或是为了刷Q币而冒险关闭安全软件,对于这些敲竹杠木马的受害者,360工程师通过逆向分析木马样本,提供了敲竹杠木马开机密码查询服务(,如有友不慎中招,可以访问这个址尝试解锁。

妇科千金片说明书
妇科千金片效果怎么样
子宫内膜炎如何有效治疗
标签