老司机灵魂一问:"开车"遇到TA们,怎么办?

2019年11月12日 387点热度 0人点赞 0条评论
图片

抢先观看一部热映电影是种什么体验?BT种子界“老司机”的感受最为真切——点开了BT资源搜寻站就仿佛就踏进了私人电影院。

图片

殊不知,黑客攻击无孔不入,种子文件其实也是传播木马病毒的首选载体。近期,360安全大脑捕获到一种新型木马,它通过伪装成热门影视剧BT种子文件,散布在各类国内外BT文件搜索点,诱骗用户下载执行,进一步盗取用户账号密码、静默挖矿、远程控制用户电脑。

 

面对这样一波神不知鬼不觉的“无声投毒”,360安全大脑已第一时间对该木马进行了全面查杀,建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。

图片  

木马“喜蹭热度”诱导下载

老司机在线翻车在所难免

 

俗话说“背靠大树好乘凉”,对于靠出卖资源吃饭的BT种子木马来说,热门影视剧就是一个得天独厚的大树之一。它通常会据此在文件名上做手脚,蹭取热度诱导用户下载点击。为进一步掩人耳目,BT种子木马还会在文件名后部添加.torrent获取用户信任。


除此之外,该木马还深谙“明修栈道,暗度陈仓”的道理,在攻击用户电脑时,真正的BT种子文件也在同步下载,整个过程和正常的下载没有任何差别,即便是“老司机”也很难发现其中的端倪,“在线翻车”自然在所难免。

 

图片

上图为木马伪装过的热门影视资源

如上图所示,恶意BT种子实际上是可执行VBS脚本文件,该脚本启动后会释放出两个文件-AutoIt3脚本和加密的PE,其中AutoIt3脚本的作用是解密、执行与它一同被释放出来的恶意PE。

图片
恶意PE文件执行时会启动傀儡进程notepad.exe并注入其中。注入的代码会将AutoIt3脚本复制到C:\ProgramData\Intel\Wireless\ 目录下,并加入开机启动项,随后便大肆收集电脑中各类账号密码、静默挖矿启动远控功能。
图片
木马的伪装行为
 
中招电脑秒变“肉鸡”
黑客全面接手为所欲为
 
对于老司机来说,日常下载翻车,最多使用关机重启等万能修复操作,恢复之后便可重新下载。但如果不幸中招这个种子木马,可就没那么简单了——黑客将全面接手入侵电脑,通过该木马盗取账号密码和数字货币钱包,占用电脑资源挖矿,并远程控制用户电脑,长期危害用户隐私和财产安全。
 
图片
  • 通过监控键盘,记录窗口名及输入内容,用户聊天记录、邮件内容、客户端密码将被一览无余,轻则造成用户的个人信息泄露,重则造成商业机密、财产信息等大规模泄露。

  • 密码及浏览器保存的Cookie信息是访问用户网络帐户、数据的重要凭据。黑客通过木马获取的密码、Cookie、FTP配置文件中的服务器IP及密码,可以访问和控制用户各个网络帐户、服务器等,会造成无法估量的损失。

  • 通过定时连接C&C服务器,获取远程命令执行,随时控制用户电脑,进行初步信息筛选,选择性攻击更有价值的用户,后果不寒而栗。

  • 窃取用户数字钱包中包括Bitcoin、Electrum、Electrum-LTC、BCH Electrum、Litecoin、Exodus、Jaxx在内的多种数字货币,并且无法追回。

  • 利用电脑显卡进行门罗币挖矿行为,被植入挖矿模块的电脑,会被占用大量资源,造成电脑变卡,影响正常使用,并造成高额电费和硬件的加速老化。
 
面对BT种子木马的强劲攻势,小编提醒老司机们在使用BT种子下载电影时,还需多加留意暗藏的杀机。目前360安全大脑已通过多种技术手段防御和发现最新木马病毒,且已率先实现对该类木马的查杀,为避免此类攻击的感染态势进一步扩大,对于办公及家庭电脑,360安全大脑建议:
1、前往weishi.360.cn下载安装360安全卫士,拦截各类病毒木马保护电脑安全;注意定期给电脑进行全面体检,及时发现系统异常。
2、开启文件后缀名显示可以降低文件名伪装风险,资源管理器->文件->文件夹和搜索选项->查看,取消勾选“隐藏已知文件类型的扩展名”
3、保持良好的上网习惯,对来源不明信息做到三不,不打开,不查看,不转发,营造良好的互联网环境人人有责。 
IOCs
MD5:
ae267337a1ad5dc1f834e6f85f4eaf7e
2aaadc7b79f6fd8da353de6ca4a11347
44e62271282f38c4c6b638f299b824dc
CC地址:
http[:]//0.le4net00.net
http[:]//deploy.static.blazingtechnologies.io
图片

56820老司机灵魂一问:"开车"遇到TA们,怎么办?

这个人很懒,什么都没留下

文章评论