Facebook平台惊现窃取银行账户信息木马Zeus
最近Facebook的总裁费恩伯格伤透了脑筋，一个名为Zeus的木马正在Facebook平台上作恶。据了解，这种木马最大的危害就是窃取用户的银行账户信息。
&　　最近Facebook的总裁费恩伯格伤透了脑筋，一个名为Zeus的木马正在Facebook平台上作恶。据了解，这种木马最大的危害就是窃取用户的银行账户信息。据悉，目前已经有上百万台电脑感染该病毒，目前费恩伯格正在想方设法清楚该病毒。
　　据国外媒体报道，美国游说组织Fans Against Kounterfeit Enterprise(FAKE)的创始人埃里克费恩伯格(Eric
Feinberg)周三表示，一种已经存活了6年时间的病毒正在Facebook平台上泛滥，这种病毒最大的危害就是窃取用户的银行账户信息。
　　这种病毒名为Zeus，主要通过钓鱼式攻击信息传播。当用户遭到钓鱼式攻击后，他们的帐户就会自动向好友发送信息或链接，内容通常是一些邀请好友点击视频或产品的广告，但是那些广告并非普遍的广告，而是指向恶意链接，进而感染更多的用户。
　　费恩伯格称，Facebook早就知道这种病毒的存在，但它一直没太当回事。
　　费恩伯格称，Zeus是一种特殊的木马，现在已经感染了数百万台电脑。这种病毒平时处于休眠状态，一旦用户登录银行账户，它就会自动激活并窃取用户的账户信息和密码。
　　Zeus瞄准的是使用Windows系统的电脑，目前还没有发现使用Mac OS
X或Linux系统的电脑受到感染。费恩伯格称，保护自己不受这种病毒侵害的唯一有效方法就是不要随便点击不明链接，只点击来源可靠的链接。
　　同时，这种病毒还具备一定的智能，它有时甚至可以用它自己的虚假网页替换掉用户登陆的银行网站的网页，以便获得更多的用户信息，比如社会保障号等。
编辑：lianxueping
热点文章Hot article
精彩图文Hot article
CopyRight 2006-.All Rights Reserved. 京ICP备号-17窃听狂魔：隐藏在jar包之后的木马
| 关注黑客与极客
窃听狂魔：隐藏在jar包之后的木马
共144603人围观
，发现 8 个不明物体
近日哈勃分析系统截获了一批新型窃听木马 “窃听狂魔”， 该木马通常在打包后jar的Java Applet应用程序中，通过网页进行传播。
该木马的主要功能是最大限度的窃取用户电脑上的信息，包括各种浏览器保存的账号密码，邮件，视频，各类语音交互软件的音频内容等。窃听信息种类之多， 覆盖的应用程序范围之广，都是之前较为少见的。
木马分析：&
木马是打包成jar的Java Applet应用程序，Applet必须运行于特定的容器中，这个容器可以是浏览器本身，所以木马通过嵌入到html网页中，即可进行传播。
通过判断当前系统是windows还是mac， 选择释放不同的可执行文件。Jar包中携带的win既是PE文件。
2、payload.exe分析
Jar包中的win文件，重命名成payload.exe释放到了临时目录中。payload.exe运行后，释放了pe文件IZsROY7X.-MP， 此文件是一个dll， 是木马的核心文件。随后将IZsROY7X.-MP文件加载到自己的内存中，调用WriteProcessMemory将IZsROY7X.-MP的数据写入到了explore.exe 中。多次写入后，通过创建远程线程的方式，恶意代码在explore.exe的线程中开始运行。从下图看到，explore.exe调用CreateProcessAPI函数启动了rundll32。
C:\WINDOWS\System32\rundll32.exe&"C:\DOCUME~\ADMINI~1\LOCALS~1\jlc3V7we\IZsROY7X.-MP",F1dd208
下面详细分析IZsROY7X.-MP这个核心dll：
3、IZsROY7X.-MP分析
在IZsROY7X.-MP导出函数F1dd208中。F1dd 208函数中会对一些杀软的驱动文件进行搜索，如果存在指定 的驱动文件，则会退出进程。这里的klif.sys和 kl1.sys 是卡巴斯基的驱动。除此之外，还检查了Avira，Como do等厂商的驱动 。
上图可以看到，木马会利用加密函数，将字符串或者Windows API的地址进行加密。这样增加了逆向时的难度。
IZsROY7X.-MP最主要的功能是窃取用户的信息， 并将信息保存在日志中，最后通过http发送给服务器。下图展示了木马所窃取的信息类别。可以看到，木马尽其所能窃取一切能窃取的，除了常见的键盘、屏幕、上网账号等，还有VOIP语音信息等 。
下面对几个比较关键的功能，进行简要的分析。
木马获取到键盘的输入后，进行了一系列的判断与处理，随后将信息存入到了日志文件中。
屏幕截图功能
木马调用WlanEnumInterfaces&API，遍历当前周围的wifi，把wifi的ssid，bssid ，信号强度等信息存入到日志文件。
获取剪切板内容
通过调用OpenClipboard，GetClipboardData等一系列API，获取剪切板的内容。
摄像头，邮件信息的获取，都是通过注册 com组件来完成。
木马从主流浏览器中，获取用户上网时保存的网站账号和密码。
根据不同的浏览器，采用不同的方式来窃取信息，以chrome为例，chrome 将用户的账号和密码存储在了sqlite数据库中，木马通过sql语句来获取信息。
硬件信息的获取，是通过读取了注册表来完成的。
VOIP语音通话内容获取
木马针对不同的语音应用，保存并解析了用户的语音通话内容。
社交信息的获取
木马会主动向facebook等主流社交网站发送请求，然后解析响应值 获取用户id，进而又查询了First_degree.php来获取用户的 好友列表。
以上是关于键盘，屏幕，浏览器等信息的窃取工作，木马还会对宿主的虚拟机进行感染。 &
虚拟机感染
木马会查找虚拟机的配置文件preferences.ini，打开文件后查找后缀 为.vmx的文件路径。Vmx文件中保存着虚拟机镜像文件的路径地址，查找vmx文件，可以找到镜像文件vmdk的地址。
vixDiskMountServer.exe是虚拟机中用来挂载vmdk镜像的工具，木马通过查找注册表中的路径，找到vixDiskMountServer.exe，将vmdk重新进行挂载。
最后将木马打包进vmdk镜像中， 完成了对虚拟机的感染。
最后，木马利用网络，将用户信息日志发送给了线上的服务器。同时，木马修改了注册表启动项，完成开机自启的功能。
不难看出，木马是通过嵌入在html的Applet来传播的，传播方式更为简洁。针对不同的系统，会释放不同的可执行文件，传播广度也更大。
对windows系统而言，常见的用户信息被窃取后，对用户的隐私和财产来说都是严重的威胁。
*本文作者：腾讯电脑管家，转载须注明来自FreeBuf黑客与极客（）
44篇文章等级：6级
腾讯电脑管家官方账号
12年的文章又能拿出来抄啊?https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
可爱小傻猫
……感谢翻译……
这个最早发现HackingTeam的杰作吧！
必须您当前尚未登录。
必须（保密）
腾讯电脑管家官方账号
分享每日精选文章怎么才能避免下载钓鱼邮件遇到木马呢？_百度知道Facebook请输入一个有效的手机电子邮件_百度知道黑客通过Facebook传播恶意软件，仅仅48个小时之内，便感染了1万用户
继昨天报道了Facebook用户遭到恶意软件感染之后，今天，我们将继续跟进这一网络攻击事件。
6月24日-27日之间，Facebook用户遭到恶意软件感染事件持续发酵。仅仅48小时之内，黑客通过利用Facebook散发大量垃圾消息的方式，大肆传播恶意软件，攻击了10000名Facebook用户。黑客在侵入用户的Facebook账号之后，利用恶意软件，能对用户发布的状态进行篡改，加入一些与用户兴趣不相符的内容。
一位来自卡巴基斯安全实验室莫斯科总部的安全研究员，首先发现了这次针对Facebook用户的恶意软件攻击。他指出：黑客在侵入一个账号之后，利用在好友发布的状态下进行评论的方式，发布垃圾消息，肆意传播恶意软件，进而能够攻击更多的用户。
该恶意软件采用的是两段式的攻击方式。
诱导用户访问带有木马程式的链接，使得系统自动下载该恶意木马，是发起攻击的第一步。
在木马下载安装完成之后，接下来就是进行第二步攻击。如果检测到该系统已被感染，该木马就会迫使用户在Chrome浏览器中安装一个扩展插件。
当用户再次通过Chrome访问Facebook时，该扩展插件就会要求用户重新进行身份验证。同时，该插件还会记录下用户Facebook账号的用户名和密码，并将其发送到黑客所使用的服务器上。
之后，黑客利用拿到的账号信息，登录用户的Facebook帐户，篡改用户发布的状态，分享一些毫不相关的内容；同时，通过该用户的好友圈，散布带有恶意软件的消息，感染更多的用户，扩大攻击范围。
实施这次攻击的黑客，很可能正通过在被感染设备中设置的僵尸网络，出售一些盗取来的、有价值的私人数据。
正是由于大量细心的用户即时举报了这一情况，相关安全机构在48小时之内就瓦解了此次网络攻击。
出于木马程序源代码的限制，只有当用户通过装有Windows操作系统的PC浏览这些垃圾消息时，该恶意软件才会启动。
来自卡巴斯基安全实验室莫斯科总部的研究人员表示：这种恶意软件会利用将几家网络安全服务提供商的网站主页拉黑的方式，对自身进行保护。
来自卡巴斯基安全实验室，全球网络安全问题调查团队的高级研究员Ido Naor说到：&目前，对于此次网络攻击，我们已经查明了两方面的情况。第一，这种恶意软件的扩散速度十分惊人，在短短48小时之内，就有成百上千的Facebook用户遭到感染；第二，在发现账号遭到攻击后，大量的用户立即将这一情况，向Facebook公司进行了汇报；很多媒体也立即对此事进行了报道。用户和媒体的这一举动，也引起了Facebook公司和相关安全机构的高度重视。他们迅速采取了相应的措施进行应对。&
同一时间，Facebook公司的网络安全工程师们也接到了紧急通知。随后，他们迅速对相关网络技术进行了限制使用，阻断了恶意软件的进一步扩散。Google公司也立即从Chrome网上应用商店中删除了那一扩展插件，停止了该插件的下载服务。
根据卡巴斯基安全实验室的调查结果显示，此次网络攻击涉及的范围非常之大。其中涉及巴西、波兰、秘鲁、哥伦比亚、墨西哥、厄瓜多尔、希腊、葡萄牙、突尼斯、委内瑞拉、德国以及以色列等多个国家在内的Facebook用户，影响十分恶劣。
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】