微信支付勒索病毒愈演愈烈 边勒索边窃取支付宝密码

感激火绒安详的投递

12月1日发作的"微信付出"打单病毒正在快速撒播，传染的电脑数目越来越多。病毒团伙入侵并操作豆瓣的C&C处事器，除了锁死受害者文件打单赎金(付出通道已经封锁)，还大举盗窃付出宝等暗码。起首，该病毒奇妙地操作"供给链污染"的方法举办撒播，今朝已经传染数万台电脑，并且传染范畴还在扩大;

一、概述

其次，该病毒还窃取用户的种种账户暗码，包罗淘宝、天猫、阿里旺旺、付出宝、163邮箱、百度 云盘 、 京东 、QQ账号。其次，该病毒还窃取用户的种种账户暗码，包罗淘宝、天猫、阿里旺旺、付出宝、163邮箱、百度云盘、京东、QQ账号。

火绒团队凶猛提议被传染用户，除了杀毒息争密被锁死的文件外，尽快修改上述平台暗码。

据火绒安详团队说明，病毒作者起首进攻软件 开拓 者的电脑，传染其用以编程的"易说话"中的一个模块，导致开拓者全部行使"易说话"编程的软件均携带该打单病毒。宽大用户下载这些"带毒"软件后，就会传染该打单病毒。整过撒播进程很简朴，但污染"易说话"后再传染软件的方法却较量有数。截至到12月3日，已有高出两万用户传染该病毒，而且被传染电脑数目还在增添。

另外，，火绒安详团队发明病毒建造者操作豆瓣等平台看成下发指令的C&C处事器，火绒安详团队通过解密下发的指令后，获取个中一个病毒靠山处事器，发明病毒作者已奥秘收取数万条淘宝、天猫等账号信息。

二、样天职析

近期，火绒追踪到行使微信二维码扫描举办打单赎金付出的打单病毒Bcrypt在12月1日前后大范畴撒播，传染用户数目在短时刻内敏捷激增。通偏激绒溯源说明发明，该病毒之以是可以在短时刻内举办大范畴撒播，是由于该病毒撒播是操作供给链污染的方法举办撒播，病毒运行后会传染易说话焦点静态库和精易模块，导致在病毒传染后编译出的全部易说话措施城市带有病毒代码。供给链污染流程图，如下图所示：

编译情形被传染后插入的恶意代码

在易说话精易模块中被插入的易说话恶意代码，如下图所示：

在被传染的编译情形中编译出的易说话措施会被插手病毒下载代码，起首会通过HTTP哀求获取到一组加密的下载设置，之后按照解密出的网址下载病毒文件到当地执行。如上图红框所示，被下载执行的是一组"白加黑"恶意措施，个中svchost为前期陈诉中所提到的白文件，svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相干代码，如下图所示：

下载病毒文件相干代码

病毒代码中哀求网址包括一个豆瓣链接和一个github链接，两者内容沟通，仅以豆瓣链接为例。如下图所示：

上述数据颠末解密后，可以获得一组下载设置。如下图所示：

解密相干代码，如下图所示：

通过设置中的下载地点，我们可以下载到数据文件，数据文件分为两个部门：一个JPG名目图片文件和病毒Payload数据。数据文件，如下图所示：

libcef.dll

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!