24期报告汇总

   安天发布《SQLServer样本追踪分析报告》
 
       近日,安天追影小组注意到在某反病毒论坛有用户反映:Windows服务器运行速度很慢,服务器的CPU被大量占用。经分析原因是被恶意运行了旺宝平台刷流量的挂机软件,在后台大量访问淘宝链接。黑客利用大量挂马,通过挂机软件进行刷流量赚钱,导致服务器运行速度缓慢,且运行在服务器的某杀毒软件不能识别,人为手动删掉后仍会出现。

       经过PTA追影系统分析,此样本属于捆绑式恶意刷广告的恶意程序,主要释放旺宝刷流量的相关程序,使用访问免费数据库成功与否来判断是否进行后续的相关操作。主要特点是通过访问数据库是否成功来实现是否继续运行,通过占用任务管理器句柄来实现无法使用taskmgr.exe以达到无法结束此恶意刷流量软件(由于网吧的关闭按钮实现的最小化的功能)。通过查找窗口类名及按钮对象来实现旺宝软件的一键隐藏功能。

       该恶意程序首先通过远程连接数据库以判断网络是否通畅,然后查询远程数据库中的数据与被挂载机器的IP、mac、系统版本,再判断是否是黑客自己操作。除此以外,样本释放的衍生文件都是旺宝站点上的程序,其中的刷流量的旺宝ID为622202。远程数据库的地址为阿里云免费提供的临时域名:qds199747491.my3w.com。该域名的主要行为是和SQLSEVER数据库通信,然后下载相关的旺宝软件,并提交刷流量任务。通过黑客追踪,可以发现,万网通过为购买IP服务的客户,提供一个临时的万网my3w.com下的免费二级域名,从而避免了备案信息和注册信息的登记。黑客正是采取了这种较为隐蔽的方式来隐藏自己的身份。

       追影小组提醒大家,恶意挂机刷流量软件已经发展的很久很成熟了,用户不能因为安装了杀毒软件就放松警惕,有异常情况时,一定要要及时检查电脑的安全性能。