Board logo

标题: 猫癣病毒“躲猫猫” 移师广东东莞月入百万 [打印本页]
作者: 御剑临风     时间: 2009-2-26 20:00    标题: 猫癣病毒“躲猫猫” 移师广东东莞月入百万

近日,被誉为“2009年首牛木马”的猫癣病毒依旧活跃在互联网上。在金山毒霸等反病毒厂商的合力围剿之下,23日,猫癣病毒作者已悄悄将病毒源头——病毒服务器从广东江门移入广东东莞。

最先发现的猫癣幕后推手--螃蟹集团,是目前活跃在圈中的五大集团之一,螃蟹集团将猫癣下载器及用于漏洞攻击的网马链接上传到托管服务器上,并通过入侵流量较大的知名网站,购买网站流量等方式广泛挂马。当用户访问这些被挂马知名网站时,就会不知不觉被安装上猫癣下载器。

据累计推算,短短一个月时间,已经累计约3000万台次计算机访问过恶意网页,其中造成约数百万台次电脑感染“猫癣”病毒。这款病毒除了强烈的对抗性,流行的原因还在于“猫癣”病毒分销渠道之多,安装量之大。

据一个资深黑客的介绍,如螃蟹集团这样的挂马集团,收入主要来源于两个方面:盗号集团支付给他们的入门费用,以及病毒下载器的推广费用。挂马集团收取的入门费平均一个盗号木马价格在3000元左右,一个猫癣下载器通常情况下可以挂到28个盗号木马,费用一个月份收取一次,那么一个月的交易总额84万,一年下来入门费的收入总额为1000万左右。


猫癣病毒前世今生:

1、猫癣一代主要特点

(1)释放大量usp10.dll,干扰清除。

(2)挟持迅雷,导致不能运行迅雷。

(3)卸载360,对抗对其他安全软件无效。

(4)感染输入法文件ctfmon.exe,使输入法不能正常使用。

2、猫癣二代主要特点

(1)特殊路径释放usp10.dll,实现自启动。

(2)下载特殊usp10.dll释放到游戏安装目录进行盗号,这个新型盗号木马会盗取征途、问道、传奇魔兽世界等知名网友账号,同时感染主机会执行服务端返回的任意指令。

(3)此样本通过其他下载器下载本身不通过第三方漏洞攻击传播。

3、猫癣三代主要特点

(1)此次不通过IFEO干扰迅雷运行,而是不断的关闭迅雷的进程。

(2)主程序不释放usp10.dll,相关功能集成到到下载的木马列表内。

(3)去除无用的对抗杀软的代码,增强卸载删除360代码。

(4)感染输入法文件ctfmon.exe,使输入法不能正常使用。

猫癣系列其他信息

(1)目前下载的木马群都包含MS08-67扫荡波攻击局域网。

(2)下载的盗号木马主要为新HBkernel32蝗虫系列(乐意)。

(3)目前挂的比较多的恶意域名下载都指向猫癣,示意如下:

一群乱七八糟的域名-->个周期性变化的恶意域名-->个周期性变化的下载器下载地址

猫癣病毒的防御方案

用户电脑安装微点主动防御软件(无需设置轻松防御)



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn