两个窃密家族动态信息

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了两个窃密家族动态信息相关的知识,希望对你有一定的参考价值。

《报告参考》
(1)新的Loki变体通过PDF文件传播
https://www.fortinet.com/blog/threat-research/new-loki-variant-being-spread-via-pdf-file.html
(2)新的Fareit变种分析
https://www.fortinet.com/blog/threat-research/new-fareit-variant-analysis.html

Fareit家族

网络C&C特征:/gate.php
技术分享图片

loki窃密恶意软件

外部形态:
技术分享图片
病毒第一次释放路径:C:\Users\XX\AppData\Roaming

病毒进程:anydesk.exe
技术分享图片

释放病毒名:33CAF5.exe
具有隐藏文件属性
技术分享图片

释放的copy目录:
C:\Users\xx\AppData\Roaming\Microsoft\Skype.exe

取到的各文件基本信息:

Desktop\33CAF5.exe
大小: 430080 bytes
文件版本:5.06.0006
修改时间: 2018年4月25日, 8:45:05
MD5: 6C1E5DA8CF6A810F6B0F581FB9808EA7
SHA1: 1F32DFD05102052EB632D9809DA42CFDE6C2369B
CRC32: 676C4584

Desktop\33CAF5\33CAF5.exe
大小: 1132544 bytes
修改时间: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE

Desktop\anydesk\anydesk.exe
大小: 1132544 bytes
修改时间: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE

注册表键值存有网络信息:
HKEY_LOCAL_MACHINE\http://bs-shipmanaqement.com/albert/anel/five/fre[.]php

通过注册表获取账户密码信息
技术分享图片

相同点

1 窃密软件
2 通过注册表获取软件安装
3 读取密码文件在内存中搜索用户名密码
4 连接网络发送数据

以上是关于两个窃密家族动态信息的主要内容,如果未能解决你的问题,请参考以下文章

U-Mail邮件网关提醒:谨防像素图片钓鱼窃密

动态 Rstudio 代码片段

是否可以动态编译和执行 C# 代码片段?

认罪了!前苹果汽车工程师承认跳槽前窃密,或面临 10 年监禁

Android - 导航抽屉 - 与动态菜单项重叠的片段

支持动态或静态片段的不同屏幕尺寸?