網頁設計公司第1頁偽裝“簡單百寶箱”的木馬分析 1、通過騰訊SOSO搜索推廣,冒充“簡單百寶箱”官網欺騙用戶下載木馬(如上圖1和下圖3),文件名分別為jdbbxsetup.exe、jdbbxV6.0Beta.exe、jdbbx6.0Beta.exe; 圖3:360安全衛士攔截偽裝“簡單百寶箱”的木馬 2、jdbbxsetup.exe安裝過程中會台北網頁設計公司釋放並運行DNF盜號木馬ltuh.exe,以及《天龍八部》遊戲盜號木馬tlbb.exe。由於DNF帳號與QQ帳號打通,受害用戶的QQ也會因此失竊。jdbbxV6.0Beta.exe的行為與jdbbxsetup.exe基本一致;圖4:jdbbxsetup.exe釋放並運行DNF盜號木馬1tuh.exe 3、DNF盜號木馬ltuh.exe首台中網頁設計公司先感染兩個Windows系統文件,通過系統文件加載盜號組件; 4、《天龍八部》盜號木馬tlbb.exe會監視遊戲進程,在遊戲運行後對IE、畫圖、ACDSee等界面截屏並發送到黑客服務器上,以此破解《天龍八部》遊戲密保卡; 5、jdbbx6.0Beta.exe安裝過程中釋放並運行“藍寶石遠程控制”木馬1.exe,以及《天龍八部》盜號木馬網頁設計公司推薦tlbb.exe(分別如下圖5和圖6);圖5:jdbbx6.0Beta.exe釋放藍寶石遠程控制木馬1.exe圖6:jdbbx6.0Beta.exe釋放《天龍八部》盜號木馬tlbb.exe 4、藍寶石遠程控制木馬1.exe植入木馬服務,再訪問網絡連接遠程主機(即黑客控制端),如下圖7和圖8;圖7:1.exe植入木馬服務圖8:訪問網絡連接台北網頁設計公司推薦黑客的遠程主機
source:http://tech.hexun.com/2011-09-22/133618550.html