诡娃 - CVE漏洞中文网

诡娃
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
高清无码！比鬼片还刺激！且听“诡娃”远控的这首惊魂曲 360安全卫士认证厂商2018-03-05共354267人围观，发现 13 个不明物体系统安全
近日，360云安全系统发现一款名为“诡娃”的远控木马，正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外，还会通过控制指令让中招机器弹出惊悚的鬼怪flash动画，再加上动画里突如其来的尖叫声，骇人程度不输恐怖大片！

经分析，”诡娃”是基于Njrat 0.7修改。

*Njrat,又称Bladabindi，该木马家族使用C#编写，是一个典型的RAT类程序，通过控制端可以操作受控端的文件、进程、服务、注册表内容、键盘记录等，也可以盗取受控端的浏览器里保存的密码信息等内容。此外，还具有远程屏幕抓取，木马客户端升级等功能。Njrat采用了插件机制，通过使用不同的插件来扩展新的木马功能。

被控端木马程序的总体代码结构如下图所示：

Clipboard Image.png

图1

创建互斥体，保证只运行进程的一个实例，在这里互斥体名称为：Windows Update。

Clipboard Image.png

图2

Clipboard Image.png

图3

木马的Main函数入口调用了Ok类的ko方法，该方法中首先对连接远端的地址及端口进行。

特殊字符替换再Base64解码后得到连接的地址及端口：

特殊字符替换相关代码：

Clipboard Image.png

图4

连接远程地址端口：

Clipboard Image.png

图5

Clipboard Image.png

图6

Clipboard Image.png

图7

进行特殊字符替换后再Base64解码最终得到通信地址为：212.115.232.229:5552,最终njRat会与该地址进行通信执行控制端发送的各种指令。

Clipboard Image.png
图8

通过其代码可以看出其具备执行入侵者的指令对中木马机器进行以下一些操控：
·更改Windows桌面壁纸；

·关闭或重新启动计算机；

·用指定的文本显示系统消息；

·更改鼠标左右按键；

·使用语音合成器对其指定的短语进行播放；

·隐藏或重新打开Windows任务栏；

·打开或关闭光驱；

·打开或关闭显示器；

·在浏览器中打开一个页面(内置了3个恐怖flash动画地址)；

·读取，安装或删除系统注册表的指定键值；

·接收并向控制服务器发送屏幕截图；

·下载并运行指定的程序文件；

·更新或删除木马的程序文件。

这里面最危险的功能之一是内置的键盘记录器，它可以记住中招用户的键盘操作。并根据命令，将这些数据回传到攻击者的服务器：

键盘记录功能：

键盘记录部分代码片断：

Clipboard Image.png

图9

Clipboard Image.png

图10

Clipboard Image.png

图11

其它功能模在此不一一列举；

另外这里发现一个有趣的现象：如果服务端下发三个特殊指令：中木马机器将会自动弹出三个恐怖吓人的Flash动画并伴有极为恐怖的声音：

Clipboard Image.png

图12

高能预警！以下配图可能引起不适，请慎重下拉！

Scary1

Clipboard Image.png

图13

Scary2

Clipboard Image.png

图14

Scary3

Clipboard Image.png

图15

在木马普遍追求商业利益的今天，这类以恐吓或让用户难堪的恶作剧手段已不常见。但值得注意的是，该木马具备随时更新升级的功能，其背后是否还隐藏着其他破坏企图也未可知。

对抗该类木马，需要弹幕强力护体模式，目前，360安全卫士无需升级就能强势拦截“诡娃”木马，温馨提醒各位网民，尤其是胆小用户，尽快开启防护，免受惊魂。

*本文作者：360安全卫士，转载请注明来自FreeBuf.COM

360安全卫士
360安全卫士
208 篇文章
等级： 8级
||
上一篇：GlobeImposter勒索病毒技术分析报告下一篇：经验分享 | 一句话免杀编写思路
这些评论亮了

Andy (8级)曾梦想仗剑走天涯，看一看世界的繁华。回复
行尸走肉追了八季，这些还吓不倒我
)16(亮了

H45TUR (1级)卡尔寇沙中哈利湖牧羊人回复
小场面，别慌，上次我拿个钓鱼站也使用了第一张的图，站长把admin目录设置跳转到了www.shafou.com，点一下玩一年，拿shell不花一分钱
)13(亮了
发表评论已有 13 条评论

king957 (1级) 2018-03-05回复 1楼
我去吓着我了

亮了(3)

Andy (8级) 曾梦想仗剑走天涯，看一看世界的繁华。 2018-03-05回复 2楼
行尸走肉追了八季，这些还吓不倒我

亮了(16)

Akane (8级) 2018-03-05回复 3楼
这种jump scare，还是比较低级的，已经不怎么能吓到人了（真的吗），建议木马作者长长心

亮了(2)

mmp 2018-03-05回复 4楼
mmp 吓老子一跳

亮了(4)

AngelaY 专栏作者(9级) LIE TO ME 2018-03-05回复 5楼
好像不算高清啊

亮了(1)

柠檬初上 (5级) 重剑无锋大巧不工~！ 2018-03-05回复 6楼
估计开发这个的人是个资深玩家很爱玩啊

亮了(0)

路人 2018-03-05回复 7楼
360重新定义高清

亮了(4)

jjjinlll (1级) 2018-03-05回复 8楼
这都吓着人人家可是看的swf

亮了(0)

神圣伊米亚之王 (1级) 2018-03-05回复 9楼
看过《沃伦》大屠杀场面的表示上面这些图片都是小儿科

亮了(2)

2090452959 (1级) 2018-03-05回复 10楼
吓死人

亮了(0)

幕刃 2018-03-05回复 11楼
收藏了

亮了(1)

H45TUR (1级) 卡尔寇沙中哈利湖牧羊人 2018-03-05回复 12楼
小场面，别慌，上次我拿个钓鱼站也使用了第一张的图，站长把admin目录设置跳转到了www.shafou.com，点一下玩一年，拿shell不花一分钱

亮了(13)

drunkcat (1级) 2018-03-12回复 13楼
@ H45TUR 信了你的邪，进去看了一眼，我去

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

208
文章数
10
评论数
最近文章
恶性木马下载器“幽虫”分析
2018.11.19

十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

浏览更多
相关阅读
“万蓝”ROM级手机木马分析报告探索基于.NET下实现一句话木马之SVC篇木马的前世今生：上线方式的发展及新型上线方式的实现来自中国的秘密：预装木马的安卓平板正在销往全世界银行木马Trickbot新模块：密码抓取器分析
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

诡娃

文章评论