126期报告汇总
安天发布《锁机木马“ShimCache”分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时注意到, 一例运行在 Windows 平台下的具有锁机功 能的木马样本“ShimCache”在网络中开 始传播。当用户运行恶意代码后,该木马 会在 Windows 系统中添加自身为启动项, 并使系统重启。当系统重启时,此锁机样 本会一起启动,锁定计算机。在开机界面 等待用户输入密码,用户需要与作者联系 并交付一定赎金才能解开密码,密码错误 则停留在锁机界面。该木马对用户的计算 机安全产生了较大的威胁。

     “ShimCache” 启动后,首先将自身 拷 贝 到 C:\WINDOWS\system32\svchose.exe 目录下,随后修改注册表,将自身添 加为开机启动项以保证持久化运行。使用 rand() 函数生成随机数并将此随机数、木 马作者 QQ 号码以及随机数 +212 存储到 指定的内存区域中。该木马会将计算机系 统管理员密码设置为 123,并将主引导扇 区的数据存储到第三扇区,然后将锁机代 码存储到主引导扇区。当用户重新开机时 便会执行锁机代码。锁机代码使用 int 10h 中断来显示 QQ 和随机数信息。调用 int 16h 中断,读取键盘输入的字符,若接收 到回车键,则进行密码比对,若密码错误 返回锁机代码开始处,若密码正确则将第 三扇区的正确的主引导扇区数据读取出来写入主引导扇区。经过分析,密码为屏幕 上显示的随机数加 212。

     安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。