江蘇的段先生在QQ群里下載了一款號稱“免費刷Q幣”的軟件后,電腦再開機就無法進入系統,而且彈出一個提示,“獲取開機密碼請聯系QQ********”,同時索要15元解鎖費,這讓段先生非常郁悶,只好通過微博向網友們求助。
經過朋友指點,段先生才知道自己電腦感染了一款名為“敲竹杠”的木馬病毒,幕后黑手就是他下載點擊的“免費刷Q幣”軟件。記者采訪360安全中心獲悉,近期“敲竹杠”木馬活躍度確實明顯增加,提醒用戶開啟360安全衛士就不會中招,千萬不要為了“刷Q幣”而不顧安全軟件報警冒險放行木馬。
根據360工程師介紹, “敲竹杠”木馬主要通過QQ群和郵件傳播的,經常會偽裝成“CF免費刷槍無毒軟件”,“免費刷Q幣”等極具誘惑性的標題,一旦用戶點擊運行,系統登陸密碼就會被篡改。以下是詳細的技術分析:
遭遇“敲竹杠”木馬后,開機的時候會出現類似以下的信息。
分析發現,這一類木馬主要是通過net命令來修改管理員的密碼,然后利用設置注冊表相關的信息來通知受害人聯系木馬作者的QQ號。
不過,這種手段很快就被安全軟件攔截查殺了,于是木馬作者通過第二種方法去達到目的,就是使用NetUserSetInfo這個api來設置登陸密碼。
通過對以下函數斷點。斷了兩次,一次是名字,一次是密碼:
在msdn上查到:
1 NET_API_STATUS NetUserSetInfo(
2 LPCWSTR servername,//當為Null的時候表示使用本地計算機。
3 LPCWSTR username,//指向一個字符串指針,如0016ACE0,指向的就是字符串“Administrator”。
4 DWORD level,//不同的level,指明buf中存放不同的數據信息
5 LPBYTE buf,//存放數據。
6 LPDWORD parm_err );
level參數描述
level
[in]
Specifies the information level of the data. This parameter can be one of the following values.
當level中的參數為1011,Specifies the full name of the user. The buf parameter points to a USER_INFO_1011 structure.
1 typedefstruct _USER_INFO_1011 {
2 LPWSTR usri1011_full_name;
3 } USER_INFO_1011,
4 *PUSER_INFO_1011,
5 *LPUSER_INFO_1011;
可以發現,0016CE88在內存中有如下信息:
通過電腦的“系統工具”直接修改:
當level中的參數為1003,Specifies a user password. The buf parameter points to a USER_INFO_1003 structure.
1 typedefstruct _USER_INFO_1003 {
2 LPWSTR usri1003_password;
3 } USER_INFO_1003,
4 *PUSER_INFO_1003,
5 *LPUSER_INFO_1003;
在0012FC24指向的就是這么一個結構;而00171820在內存中對應的unicode:bu。可以判定,被鎖的密碼是“bu”。
現在 輸入“bu”后,電腦登陸成功。
針對以上“敲竹杠”木馬的攻擊手段,360安全衛士都能夠全面攔截查殺此類木馬,即便是黑客制作出最新的木馬變種,只要它去篡改系統登陸密碼,360就會發出警報,提示用戶選擇阻止:
由于部分網友沒有使用專業安全軟件,或是為了刷Q幣而冒險關閉安全軟件,對于這些“敲竹杠”木馬的受害者,360工程師通過逆向分析木馬樣本,提供了敲竹杠木馬開機密碼查詢服務(http://fuwu.360.cn/chaxun),如有網友不慎中招,可以訪問這個網址嘗試解鎖。
(新聞稿 2014-08-27)