24期报告汇总
安天发布《SQLServer样本追踪分析报告》
经过PTA追影系统分析,此样本属于捆绑式恶意刷广告的恶意程序,主要释放旺宝刷流量的相关程序,使用访问免费数据库成功与否来判断是否进行后续的相关操作。主要特点是通过访问数据库是否成功来实现是否继续运行,通过占用任务管理器句柄来实现无法使用taskmgr.exe以达到无法结束此恶意刷流量软件(由于网吧的关闭按钮实现的最小化的功能)。通过查找窗口类名及按钮对象来实现旺宝软件的一键隐藏功能。
该恶意程序首先通过远程连接数据库以判断网络是否通畅,然后查询远程数据库中的数据与被挂载机器的IP、mac、系统版本,再判断是否是黑客自己操作。除此以外,样本释放的衍生文件都是旺宝站点上的程序,其中的刷流量的旺宝ID为622202。远程数据库的地址为阿里云免费提供的临时域名:qds199747491.my3w.com。该域名的主要行为是和SQLSEVER数据库通信,然后下载相关的旺宝软件,并提交刷流量任务。通过黑客追踪,可以发现,万网通过为购买IP服务的客户,提供一个临时的万网my3w.com下的免费二级域名,从而避免了备案信息和注册信息的登记。黑客正是采取了这种较为隐蔽的方式来隐藏自己的身份。
追影小组提醒大家,恶意挂机刷流量软件已经发展的很久很成熟了,用户不能因为安装了杀毒软件就放松警惕,有异常情况时,一定要要及时检查电脑的安全性能。