國內資深安全專家詳談Trojan-PSW盜號***

誠信網安－－子明

【51CTO.com 專家特稿】近日在QQ上普遍傳播地一段回答問題獲得q幣中獎消息中所包含的惡意連接，訪問該連接將致使用戶電腦感染多種***程序，通過仔細分析這些***幾乎都歸於一類——Trojan-PSW***！

1、Trojan-PSW***的定義

近年來，網絡犯罪和破壞更加趨向於可以給***者帶來直接或間接的經濟利益，像以前對純技術的追求已經不那麼明顯，而隨着***技術和***工具的普及， 使得網絡犯罪與破壞的技術門檻下降，許多不法分子利用這些技術進行非法牟利，其中最突出的表現就是Trojan-PSW***的大肆傳播。

在用戶不注意的狀況下，將***程序植入用戶電腦，自動獲取預先指定好的、***全部者所感興趣的用戶敏感信息資料，並經過***程序將非法竊取的資料發 送給***全部者，這樣的***程序一般盜取銀行賬號、網絡遊戲賬號、信用卡卡號等以及對應密碼，所以被歸類於Trojan-PSW***。

Trojan-PSW***是隨着網絡發展而出現的，當人們感覺到計算機以及互聯網給平常生活帶來的便利後，開始傾向於將一些敏感的信息存儲在電腦上 或者經過電腦進入互聯網發送這些信息，這樣就給了不法份子進行「網絡盜竊」的條件。他們開始設計一種惡意程序，並經過各類各樣的方式植入用戶電腦，從中搜 索本身須要的資料或者直接截取到用戶輸入的信息，記錄下來後轉發給本身，而後利用盜取的資料從事非法牟取暴利活動。此類***每每不須要太多的技術含量，可 能利用一些系統漏洞進入用戶系統，不過大多數狀況下，是經過誘騙用戶點擊某個網站連接，或者直接經過即時聊天工具發送***程序給用戶，當用戶運行***程序 或者訪問過惡意連接後就會間接感染該***。

2、Trojan-PSW***的特色

Trojan-PSW***在網絡上已經出現了好幾年，並且引起的安全事件以及犯罪行爲都在不斷增長，其破壞不容小覷。

究竟該類***如何植入用戶電腦？
如何在用戶電腦中獲取到敏感信息呢？
究竟***做者所感興趣的敏感信息有哪些？
當獲取到信息後，又是如何將信息發送給***全部者呢？
下面就是總結出的一些Trojan-PSW***特色：

1.利用「社會工程學」等手段侵入用戶電腦

***相對於蠕蟲來講，缺少主動傳播性，***的全部傳播行爲都是有人爲參與，而不像蠕蟲那樣不須要人工干預，能夠自發地搜索可感染目標。再有***比較有針對性，一般是種一對一或者一對多的***行爲，而蠕蟲是一種沒法預測、不能控制的多對多的***。

因爲***的這樣特色，使得***的傳播與其餘病毒有必定的區別，但大多都利用了一些 「社會工程學」的技巧：

（1）利用系統漏洞直接傳播
用戶電腦自己存在系統漏洞，如操做系統漏洞或者是IE瀏覽器漏洞等，均可以被不法分子利用，直接將***程序複製或者下載到用戶電腦並進行安裝。

（2）利用即時聊天工具誘惑傳播
據統計，這種傳播方式最爲有效，也是***全部者慣用伎倆，即時聊天工具 的普及給了他們傳播***程序的媒介，且利用了人們的好奇、貪小便宜的心理以及對好友不設防的薄弱思想，經過發送一段具備誘惑性內容的消息，附帶一個連接， 誘使用戶點擊訪問。一旦訪問，就會自動將***程序下載到用戶機器並運行起來。

（3）利用網站、論壇欺騙傳播
***程序全部者一般會在一些音樂網站或者知名論壇發佈一些虛假消息，如一些小工具、惡意網站地址，欺騙用戶說能夠獲取何種利益，其中就安放了一些***程序，等待用戶下載運行。

（4）利用電子郵件強行傳播
***全部者發送附帶***程序的電子郵件，郵件主題比較吸引人，使用戶瀏覽附件，從而感染***。

2.竊取敏感資料的方法

***程序成千上萬，但其竊取資料的手段大體能夠歸類爲如下幾條：

（1）搜索文件
一般重要的信息可能存在幾類文件中，好比.txt文本、.doc文檔、.xls表格等 等，那麼***做者可能就會讓***程序自動搜索用戶電腦上可能記錄了關鍵信息的文件，從中獲取字符串，並記錄在本身的日誌文件裏；此外竊取密碼的***針對性 比較強，如針對於某一個網絡遊戲、某一種商業軟件，其記錄關鍵信息的位置每每也固定於一些文件之中，經過遍歷文件，搜索其中關鍵字符，也一樣可以獲取到有 用信息。

（2）鍵盤截取
這類***功能較爲簡單，不針對各種文件，而直接針對於用戶輸入信息的關鍵設備——鍵盤。***運行後，會將用戶敲擊鍵盤的順序和內容記錄下來，存爲一個文本，其中可能就包括了用戶的一些經常使用的賬號和密碼，成功率也比較高。

（3）檢測有效窗口
當***檢測到某個程序的窗口爲當前有效窗口時，其會啓動記錄功能，將用戶輸入到窗口的信息完整記錄下來，例如檢測傳奇客戶端窗口。

（4）查找cookie信息
用戶在登錄一些網頁時會產生一些cookie信息，其中可能包含了一些像用戶名及密碼一類的關鍵信息，***程序會讀取cookie文件，從而得到有效信息。

3.竊取信息的種類

前面提到Trojan-PSW***的使用一般爲了獲取非法的經濟利益，這些經濟利益的來源就是***作竊取到的重要信息資料，安天CERT整理近幾年Trojan-PSW***所涉及到的敏感信息資料：

（1）網絡銀行類
像工商銀行、交通銀行、商業銀行、招商銀行、農業銀行、中國銀行等指明國內銀行的賬號密碼以及信用卡等業務的相關資料。
國外的狀況也相似，主要設計到集中信用卡的信息竊取，如Visa、MasterCard等。

（2）網絡遊戲類
隨着網絡遊戲近幾年的飛速發展，其擁有的玩家也愈來愈多，遊戲所製造的網上財富也日益 增長，一時間，大量***瞄準了這塊風水寶地。所以也出現了大量針對於網絡遊戲的***，像傳奇盜號的***已經成爲一個家族——Trojan- PSW.Win32.Lmir，變種不可勝數。經過獲取玩家的遊戲賬號和密碼，***全部者或將玩家人物角色賣出，或將玩家高級裝備在遊戲中出售，從而獲取 高額「利潤」。一般他們都是在得到該裝備後，迅速把裝備轉移到他在該區申請的遊戲賬號上面，進行黑貨轉移，並迅速以現金進行交易，等遊戲玩家申請完，整個 交易已經早早的交易完畢，這同時也指出了網絡法定關於虛擬財產方面的定罪的空白。

（3）網絡通行證類
一般指一些論壇或者電子郵箱的登錄賬號和密碼，竊取這些賬號後，可以得到其中的有價值資源，或者冒充被盜人進行一些非法活動。

（4）聊天工具類
諸如QQ、MSN等著名聊天工具，也是此類***及***做者垂涎的獵物，一個好的QQ號碼可以在網上賣到很高的價錢，這其中的利益就是他們行竊的原動力。

（5）商業機密類
商業競爭激烈，若是可以得到對手的關鍵資料，那麼就可能贏得一場艱難的商業戰，而***獲取商業機密類信息所「賺」來的利潤也是最高的。

（6）大型軟件類
***全部者可能會去針對某款正版軟件的序列號或者某遊戲的CD-KEY進行盜竊，將這些資源賣給那些想使用正版，但苦於不能註冊的用戶。

4.信息回收方式

當***竊取到大量信息後，會在用戶電腦產生記錄，隨後會經過幾種經常使用的方式發送給***的「主人」，咱們稱之爲信息回收過程，下面就是幾種***經常使用的信息回送方式：

（1）HTTP服務器
***全部者創建一個HTTP服務器，接受從***程序反饋回的消息，一般***程序使用get方式將消息發到服務器。

（2）FTP服務器
***全部者一般會在一臺電腦上搭建一個FTP服務器，並配上公網IP，而後在本身的***程序中事先設定好，這個服務器地址。一旦***獲取到資料後，就主動鏈接此服務器，將資料上傳，而無須人工操做。

（3）SMTP服務器
***全部者會在***程序中設置一段代碼完成發送電子郵件功能，將記錄信息以電子郵件的方式發送到病毒全部者的郵箱中，或直接將信息寫爲郵件正文，或做爲附件進行發送。

（4）TFTP服務器
相似於FTP服務器，只不過類型不同，此類服務器上傳小文件，尤爲像記錄少許信息的文本文件，有必定的速度優點。

（5）IRC服務器
經過IRC服務器中的DCC命令也能夠傳送文件，***全部者預先告訴***當得到信息後鏈接到某個特定的IRC地址，並使用DCC命令將文件發送到全部者手上。

（6）後門功能
相似於後門程序，在感染該***的電腦上開啓一個端口，或者直接架設一個上面（1）、（2）、（3）中提到的服務器，等待用戶自行下載***文件。

3、典型Trojan-PSW***分析

1.Trojan-PSW.Win32.Lmir.lq（傳奇天使）

病毒標籤：
病毒名稱： Trojan-PSW.Win32.Lmir.lq
中文名稱： 傳奇天使
病毒類型： ***
危害等級： 中
文件長度： 62,525 字節
感染系統： windows9x以上的全部版本
編寫語言： Microsoft Visual C++

病毒描述：
傳奇天使是專門盜取傳奇帳號的***，感染後傳奇天使後，該病毒會竊取傳奇玩家的 區名稱和ID名稱，密碼，及登錄服務器。感染該病毒後會在系統目錄下生成病毒相關文件winker.exe或 winker.dll，搜索反病毒及安全軟件的進程，找到後便將該進程停止，經過修改註冊表，啓動服務，並隨系統同時啓動。

行爲分析：
1)修改註冊表
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
添加鍵值："默認"="%Windir%winker.exe"從而達到隨系統啓動的目的。
2)在系統目錄下釋放文件winker.exe或winker.dll。
3)關閉以下進程：天網防火牆我的版，金山網鏢2003，瑞星殺毒軟件。
4)修改註冊表，調用kernerl32.dll的RegisterServiceProccess，從而註冊爲服務。

2.「網銀大盜」

病毒名稱：網銀大盜Ⅱ
病毒類型：***
病毒大小：16284字節
傳播方式：網絡
壓縮方式：ASpack
該***盜取幾乎涵蓋中國當時全部我的網上銀行的賬號、密碼、驗證碼等等，發送給病毒做者。此***與4月份截獲網銀大盜有殊途同歸之處，但涉及銀行之多，範圍之廣是從來最大的，不但給染毒用戶形成的損失更大、更直接，也給各網上銀行形成更大的安全威脅和信任危機。

具體技術特徵以下：

（1）病毒運行後，盜取的網上銀行涉及：
銀聯支付網關-->執行支付
銀聯支付網關
中國工商銀行新一代網上銀行
中國工商銀行網上銀行
工商銀行網上支付
申請牡丹信用卡
招商銀行我的銀行
招商銀行一網通
我的網上銀行
中國建設銀行網上銀行
登錄我的網上銀行
中國建設銀行
中國建設銀行網上銀行
交通銀行網上銀行
交通銀行網上銀行
深圳發展銀行賬戶查詢系統
深圳發展銀行|我的銀行
深圳發展銀行 | 我的用戶申請表
深圳發展銀行：
民生網我的普通版
民生銀行
網上銀行--我的普通業務
華夏銀行
上海銀行企業網上銀行
上海銀行
首都電子商城商戶管理平臺
首都電子商城商戶管理：
中國在線支付網: :IPAY網上支付中心
中國在線支付網商戶
招商銀行網上支付中心
招商銀行網上支付
我的網上銀行-網上支付

（2）病毒算機中建立如下文件：
%SystemDir%\svch0st.exe，16284字節，病毒自己

（3）在註冊表的HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run中建立：
「svch0st.exe」=「%SystemDir%\svch0st.exe」
「taskmgr.exe」=「%SystemDir%\svch0st.exe」

（4）病毒運行後會根據IE窗口標題欄判斷是否爲網上銀行頁面，若是發現上述提到的銀行後，病毒當即開始記錄鍵盤敲擊的每個鍵值，記錄鍵值包括：
AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
!2@3#4$5%6^7&8*9(0)
{BackSpace}{Tab}{回車}{Shift}{Ctrl}{Alt}{Pause}
{Esc}{空格}{End}{Home}{Left}{Right}{Up}{Down}
{Insert}{Delete}{Del}{F1} -- {F12}
{NumLock}{ScrollLock}{PrintScreen}{PageUp}{PageDown}
;:=+,<-_.>/?`~][{\|]}'

（5）病毒截取到鍵盤值後，會造成信息發到指定 http://*****.com/****/get.asp。其信息以下：
http://*****.com/****/get.asp?txt=××銀行：<截獲的按鍵>

（6）病毒開啓3個定時器，每隔幾秒鐘搜索用戶的IE窗口，若是發現用戶正在使用上述銀行的「我的網上銀行」的登錄界面，則嘗試記錄用戶鍵入的全部鍵值，而後把竊取到的信息經過get方式發送到指定的服務器。

3.「證券大盜」

該***能夠盜取多家證券交易系統的交易賬號和密碼。

具體技術特徵以下：

（1）病毒運行後，將建立自身複本於：
%WinDir%\SYSTEM32.EXE, 201216字節

（2）在註冊表中添加下列啓動項：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE

（3）***運行時尋找一些包含著名券商名稱的窗口標題，若是發現就開始啓動鍵盤鉤子對用戶登錄信息進行記錄，包括用戶名和密碼。

（4）在記錄鍵盤信息的同時，經過屏幕快照將用戶登錄時窗口畫面保存爲圖片，存放於：
c:\Screen1.bmp
c:\Screen2.bmp

（5）當記錄指定次數後，將3，4中記錄的信息和圖片經過電子郵件發送到 webmaster@****.com。

（6）發送成功後，病毒將自身刪除，但4中生成的.bmp圖片並未被刪除。

4.Trojan-PSW.Win32.QQRob（啊啦大盜）

啊啦大盜是一個竊取QQ密碼的經典***程序，當感染該病毒後，會出現無端彈出一些網頁廣告，使得某些反病毒軟件不能正常運行，QQ密碼丟失等現象。

具體行爲分析：

1.該***隱藏於一個畸形的CHM文件中，打開這個CHM文件，***就會被自動釋放出來而且獲得執行；

2.***被釋放到%SYSTEM%目錄，名爲「NTdhcp.exe」，具備「隱藏」、「系統」和「只讀」屬性；

3.修改註冊表，在註冊表啓動項
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下，
添加以下值："NTdhcp"="%SYSTEM%\NTdhcp.exe"

4.刪除大量反病毒軟件的在註冊表啓動項中的值：
KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall
KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz
MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe
VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service
KavStartKWatch9x

5.設置註冊表中下列各項的「Start」值爲4，從而禁止這些反病毒服務程序：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework

6.監視禁止如下反病毒進程：
FireTray.exe  UpdaterUI.exe  TBMon.exe  SHSTAT.EXE  RAV.EXE  RAVMON.EXE
RAVTIMER.EXE  KVXP.KXP  KVCENTER.KXP  Iparmor.exe  MAILMON.EXE
KAVPFW.EXE  KmailMon.EXE  KAVStart.exe  KATMain.EXE  TrojanDetector.EXE
KVFW.EXE  KVMonXP.KXP  KAVPLUS.EXE  KWATCHUI.EXE  KPOPMON.EXE
KAV32.EXE  CCAPP.EXE  MCAGENT.EXE  MCVSESCN.EXE  MSKAGENT.EXE
EGHOST.EXE  KRegEx.exe  TrojDie.kxp  KVOL.exe  kvolself.exe  KWatch9x.exe

4、Trojan-PSW***防範

Trojan-PSW***的出現標誌着網絡***事件已經再也不是單純的技術突破，而更傾向於經濟利益的獲取，如何去防範這類***的破壞行爲已經成爲人們日益關注的問題了。

1.保持高度的警戒性，不要輕易點擊網上的連接，在接受到文件後，先使用殺毒軟件進行檢查。

2.常常檢查電腦狀態，是否有可疑進程運行、是否有不熟悉的文件、啓動項和註冊表鍵值、是否有不正常的網絡鏈接行爲、是否被開放不熟悉的端口等。

3.妥善存儲賬號密碼一類的敏感信息資料。

4.在作網上交易的時候，儘可能使用軟鍵盤操做，有能力的，仍是建議使用銀行開發出的u盾或其餘移動存儲設備。

5.不去訪問一些小的網站，以避免被種植上***，勤升級病毒庫和及時打微軟或linux系統的補丁。

綜述：

隨着我的利益的追求最大話，愈來愈多的技術性選手開始走向黑色經濟那邊，他們將更多的***和底層***工具進行捆綁，開發出免殺的dll***並和盜號 ***進行合併，組成新型的******工具。從以上的這些分析的數據來看，對手的編寫水平是在日新月異的增加，對咱們也是一個強大的考驗，這種盜號***的出 現，更說明了他的背後有很廣闊的市場，有很強大的地下交易市場，所謂治病需除根，呼籲有關部門仍是要嚴查這些地下市場，切斷其根部，斷了它那源源不斷的黑 色血液，在這裏也給那些剛出校門的或者還在校園裏面，平時喜歡使用一些***工具的人，從最近幾個朋友給我聊天和詢問的狀況來看，紅狼小組開發的這個遠程控 制很受歡迎，對於我的用戶來講十分有效，可是，在這裏我忠心的告訴大家，不要覺得會玩幾個***工具就能當***，真正的***根本不會去無聊到黑我的機器，學 校服務器等，可能因爲一些愛好和興趣，早先黑過一些機器，可是黑完之後他也要面臨巨大的代價，請大家把精力用在學習上，不要幻想着開發一個病毒，黑下一個 知名站點而以爲能一下成名，「錢」途無量。

同時針對這樣的盜號***我和安天的cert小組也配套開發出了一些專用檢查工具，在這裏我仍是要感謝安天cert全體小組成員的大力支持和幫助，也 要感謝誠信網安團隊成員能積極的對一些用戶提交的可疑病毒進行逆向分析，在短期內完成專殺工具的開發，還要感謝我身邊的王清、王琪兩個兄弟的幫忙。