360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
原文丨360安全卫士
原标题丨用Python写成的MCR乐队敲诈者木马:这种操作很朋克!
私信001即可获取一份Python编程大礼包资源。
最近,一款使用Python语言编写的敲诈者木马又被发现。面对花样百出的攻击,360的安全分析人员不禁感叹——竟然还有这种操作?
永远的“我的黑客浪漫”
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
病毒名字起的很“朋克”,但传播方式却颇为老套,无非就是伪装成一些对广大网民比较有吸引力的软件对外发布,诱导大家下载并执行。
比如我们拿来分析的这个样本,就自称是一款叫做“VortexVPN”的VPN软件。除此之外,还有类似于“PornDownload”、“ChaosSet”、“PanDownloader”、“BitSearch”等等,基本都是广大网友都懂得的各种工具软件。
通过进一步追溯,发现该木马传播早期,可能是来自于一个名为ZeroNet的匿名网络,该网络是一个去中心化的加密网络,显然作者是对隐藏自身信息也是做了比较周密的安排。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
木马分析惊现Python语言
言归正传,我们来看下木马本身。和常见勒索木马一样,会加密中毒电脑中的所有常见文档文件,并留下敲诈信息:
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
而很是与众不同的是,在分析的时候,我们发现这款木马竟然是用Python语言编写了木马脚本,然后再打包成一个exe的可执行程序的。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
于是我们尝试使用现有工具对该exe进行反编译,结果喜人——工具成功的对木马程序进行了反编译,其中除了一些Python环境所依赖的库文件之外,核心部分就是一个名为“wub_crypted”的pyc文件。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
之后,我们将pyc脚本恢复为py脚本文件,发现脚本本身的内容也是加密过的。再经过两次的Base64解码和一次AES解密,最终我们拿到了木马核心功能脚本的内容。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
脚本代码分析
有了明文脚本,功能就显而易见了。
首先,木马会判断自身进程名是否为systern.exe。如果不是,则将自身复制为C:\Users\Public\systern.exe 并执行。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
之后,木马释放s.bat批处理脚本,关闭各种数据库和web 服务及进程。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
该木马的亮点是,在加密的文件类型列表中,除了大量的文档类型外,还包括有比特币钱包文件和一些较重要的数据库文件。
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
用Python脚本写了个敲诈者木马,再打包成 exe程序,再费尽周章用匿名网络发不出去,最终因为使用对称加密算法被分分钟破解……惊不惊喜?意不意外?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
360安全人员分析木马出现Python语言,不禁感叹,还有这种操作?
如果你依然在编程的世界里迷茫,不知道自己的未来规划,对Python感兴趣,这里推荐一下我的学习交流圈:729720844,里面都是学习Python的,从最基础的Python【Python,游戏,黑客技术,数据挖掘,爬虫】到网络安全的项目实战的学习资料都有整理,送给每一位Python小伙伴,希望能帮助你更了解Python,学习Python
网友评论