每周典型威胁分析

 
     近期，安天捕风团队捕获到了一个名为 “itranslator_02.exe”的恶意样本，该恶意样 本文件带有一个无效的证书签名。一旦受害 者打开 exe 文件，恶意软件就会安装两个驱 动，控制受害者的 Windows 系统，同时监控 受害者使用浏览器的互联网活动轨迹，窃取 用户账户密码信息。

     当 itranslator_02.exe 运 行 时， 会 在 program-data 目 录 中 新 建 目 录 并 释 放 名 为 wintrans.exe 的新文件，并使用参数 P002 启 动 wintrans.exe。此处恶意样本将 P002 作为 受害者计算机的 GUID 来使用，并在恶意攻 击活动中利用该值与 C&C 服务器通信。

     Wintrans.exe 启动成功后，会尝试下载 一个 DLL 模块（iTranslator.dll），并将其保 存到同目录下；然后在受害者系统上创建一 个线程，用以创建名为 iTranslatorSvc 的驱动 服务，该驱动启动类型被修改为 SYSTEM_ START，这样每当系统启动时都会启用 该 驱 动。 接 下 来，wintrans.exe 会 将 名 为 iTranslator（Windows 驱动文件）的一个文件 释 放 到 Windows 目 录 中， 最 后 wintrans.exe会将受害者的系统等信息发送到攻击者的服 务器。

      下 载 的 iTranslator.dll 可 以 在 首 次 安 装 时 由 wintrans.exe 加 载 运 行， 也 可 以 在 Windows 系统启动时由 winlogon.exe 负责加 载及运行，而后者由 iTranslatorSvc 驱动负责 加载。经过分析发现，iTranslator.dll 并不仅 仅是一个 DLL 文件，而是一个文件容器，其 资源区中包含许多其他文件，这些文件随后 会释放到受害者的本地目录中。

      经进一步分析，安天捕风团队发现 iTranslator.dll 释 放 出 来 的 13 个 文 件 都 用 于 在受害者系统上执行 MITM 攻击（中间人 攻 击）， 其 中 12 个 用 于 控 制 Firefox 浏 览 器， 其 中 1 个 是 iNetfilterSvc 模 块， 这 是 一 个驱动程序（NetfilterSvc），用来透明过滤 Windows 系统中通过网络传输的数据包， 以及安装 Sample CA 2.cer，然后 iTranslator. dll 会 与 iTranslatorSvc 及 NetfilterSvc 驱 动 进 行通信，交换数据。Sample CA 2.cer 是一个 根证书，会以可信根证书颁发机构形式安装 到 Firefox 以及 Windows 系统中（针对 IE 和Chrome）。通过这种方法，使浏览器不会向 用户发出任何的不安全警告，而恶意软件可 以监控受害者在所有主流浏览器上的活动。 如果想删除该恶意软件，可以重启主机 并进入安全模式，然后执行如下操作：
1、 删 除 %WINDIR%\iTranslator 和 %WINDIR%\system32\iTranslator.dll 文 件；
2 、 删 除 % W I N D I R % \ n s s 和 %WINDIR%\SSL 以 及 %ProgramData%\ itranslator 目录；
3 、 删 除 H K L M \ S Y S T E M \ CurrentControlSet\services\iTranslatorSvc 注 册表键值；
4 、 删 除 H K L M \ S Y S T E M \ CurrentControlSet\services\NetfilterSvc 注 册 表键值；
5、删除所有浏览器中的 Sample CA 2 证 书。
安天建议广大用户及时更新设备系统， 修补相关漏洞，修改设备登陆的默认密码， 避免弱口令的使用，并安装杀毒、防毒软件。

      目前，安天追影产品已经实现了对该 类恶意代码的检出。