125期报告汇总
安天发布《“蜻蜓二代”恶意代码分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时注意到, “蜻蜓二代”恶意代码开始活跃,该样本 能够感染系统并常驻于系统,并且还具有 窃密文件回传、远程执行任意命令、下载 扩展组件执行等功能。
该样本运行后会检测当前执行文件是 否以 STService 的名称进行操作。若不是, 则 将 样 本 复 制 到 %appdata%, 利 用 COM 接口在开始菜单的启动文件夹下创建快捷 方式来实现自启动,修改文件时间,将 文件属性修改为系统隐藏,然后以“ST Service Scheduling”为参数启动 STService. exe。若当前执行文件路径是 \STService\STService.exe,则循环创建 320 个线程, 解密配置信息并与远程地址通信。样本会 连 接 默 认 C&C:37.1.202.26, 向 其 提 交 计算机的基本信息并且获取控制命令,根 据计算机信息构造数据包。恶意代码会 从 .jpg、.png 以及 .gif 中随机选取作为上 传服务器目标路径,然后加密根据计算机 基本信息拼接成的字符串,通过 POST 请 求回传。样本会根据响应的控制指令,执 行相应的操作。样本会判断响应的数据中 是否含有数据 uE4GMN,若含有,说明 上线成功,然后删除 status_svr.txt 文件, 否则说明上线失败。若上线失败,则判断 状态标志文件“%APPDATA%\STService\status_svr.txt”是否存在,如果该文件存在, 则使用备用 C&C(37.1.219.31)进行上线 和控制命令的获取。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。
