本帖最后由 SSEC 于 2017-7-26 14:29 编辑
Qakbot病毒分析与查杀 1 简述
1.1什么是Qakbot病毒Qakbot病毒是一种银行木马,受影响系统为微软Windows。Qakbot发现于2009年,旨在专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能,并持续监控用户的银行活动以欺诈大量钱财。
1.2 有哪些危害感染Qakbot的主机通常其多数进程都会被挂上钩子,系统进程explorer.exe、IE浏览器等会被注入恶意代码。此外,受感染的主机还可能进行横向移动,将自身病毒传染给局域网内的其它主机。
Qakbot的目的在于长期窃取受害者的重要信息,特别是企业用户的银行账号等涉及钱财的信息。当然,为了充分榨干受害者主机,该病毒也可能利用其做为跳板,发送大量的垃圾邮件、钓鱼邮件、欺诈邮件。
实际上,感染Qakbot已经意味着主机处于高风险之中,最好及时清理以减少经济损失。 2 中毒症状
2.1 常见感染路径Qakbot变种很多,通常运行起来之后,常见的释放路径如下(释放自身文件):
- C:\documents and settings\all users\applicationdata\microsoft\[随机]\[随机].exe
- C:\WINDOWS\TEMP\[随机].[随机]
- C:\WINDOWS\temp\[随机].exe
2.2 添加启动项Qakbot会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Qakbot感染的常见启动项:
使用PC Hunter工具,观察到如下启动项被Qakbot感染:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Everything和dxcunvno 对应键值
- C:\documents and setting\all users\applicationdata\microsoft\tqtjj\tqtjj.exe
如果我们使用regedit打开来看,会发现该注册表项是不存在的。 但实际上,使用底层命令RegQuery却能把该注册表项枚举出来,说明Qakbot为了隐藏该注册表项,已经在应用层挂了钩子,返回不完整的信息。
2.3 病毒进程Qakbot病毒可能是独立运行的病毒进程,也可能是将恶意代码注入到系统进程中运行,也可能都同时进行。
下图展示的是Qakbot的某个变种,可以看到Qakbot病毒同时有自己的独立病毒进程tqtjj.exe,以及注入到IE浏览器进程中的恶意代码,二者都会加载一个关键病毒模块,即tqtjj.dll。
Qakbot病毒进行大量信息窃取的方式是通过挂钩子,基本上只要正常程序一运行,就会被挂上钩子。如下图所示,大量的进程被挂上了inline型的进程钩子,Hook的函数如下(下图红框):
挂钩HttpSendRequestA等HTTP请求类函数,是为了窃取HTTP流量中的重要信息(这些信息通常可以在浏览器中可以找到)。 挂钩DnsQuery_A等DNS请求类函数,是为了过滤关键域名信息,把安全站点拦截掉。 挂钩RegEnumValueA等注册表查询类函数,是为了隐蔽Qakbot自身的注册表启动项信息。
有意思的是,Qakbot在对其它进程进行恶意代码注入或者流量截取的时候,会将相关信息保存在一个伪造的dll文件中。
2.4 网络行为Qakbot病毒通常并不马上与远控服务器进行通信,或者回传重要信息。它往往是将窃取到的敏感信息,利用劫持到的FTP账号,上传到合法的FTP服务器上。 以下截图就是某个Qakbot变种的FTP流量。可以看到,它正在使用某个账号,尝试登陆到某个FTP服务器上。
Qakbot病毒的一个可怕之处在于它是浏览器中间人角色,即该病毒已经注入到了浏览器中,它可以任意获取用户在浏览器输入的内容,取得浏览器访问网站后产生的认证、Cookie等关键信息。 如下图所示,访问工商银行网站后产生的Cookies信息,就会被Qakbot所截获。
Qakbot的C&C站点很多,下图是某个Qakbot变种抓到的域名站点:
威胁情报显示,spotrate.info是一个常见的Qakbot接入地址。
3 如何查杀3.1 使用杀毒软件Qakbot病毒目前没有专杀工具,推荐使用杀毒软件进行全盘扫描,且最好将自己的各种账号密码进行重设。
常见的杀毒软件很多,尝试了多种杀软对Qakbot的查杀效果,发现360杀毒相对较好,链接如下:
注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。 | 
发表于 2017-7-26 14:11
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
