2020-05-29 11:49:30.0 519浏览
玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。
三年内感染规模超10万
“双枪”木马是针对windows系统的大规模恶意木马。自2017年7月开始活动,在过去三年中,“双枪”木马影响范围较小,但是随着规模的逐步扩大,如今,该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。
“双枪”木马主要是通过网络共享诱饵应用程序进行分发,为社交网络和游戏论坛提供盗版游戏,使用MBR和VBR引导程序感染用户设备,安装各种恶意驱动程序,并在本地应用程序窃取凭据。
“双枪”木马的恶意行为主要包含以下三种:
“双枪”木马近年来屡次开展大规模互动,屡屡被曝光和打击后仍可死灰复燃,由此可见其根基“深厚”,规模庞大。
关闭部分僵尸网络后端基础架构,其中大部分都在使用百度的贴吧图像托管服务,部分使用了阿里云存储托管配置文件。
IOC关联分析
通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,一是启动器内含恶意代码,二是DLL劫持。
启动器内包含恶意代码方式可分为三个感染阶段:
DLL劫持感染方式依然是以私服客户端为载体,多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件,执行可分为两个阶段:
过去三年来,“双枪”一直在从百度贴吧下载图像。这些图像包含秘密代码(使用一种称为隐写术的技术隐藏在图像内部),该代码为“双枪”僵尸网络提供了感染主机执行操作的指令。
在过去的两个星期中,360联手百度追踪打击“双枪”木马,一直在删除“双枪”使用的图像,并记录来自受感染主机的链接,因此发现僵尸网络规模巨大。目前,僵尸网络规模估计为“数十万” ,打击活动在持续进行中。
在此提醒广大读者,不要随意点击陌生链接或者下载未知的应用程序,避免感染恶意木马,沦为“肉鸡”。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
对不起!让你吐槽了
上传图片
可上传3张图片