敲诈者来了~~
今天整理东西,发现一大波的敲诈者病毒来了。。
一 典型行为
起个欺骗性名字的。比如:
MD5:7a3e070f232fda5e71bc3506005d35ae
名字叫:强制登陆体验服飞车.exe ,可以看出是假装是游戏软件的。
程序有个很牛的图标:意发科技,形如:
运行后程序调用net.exe user administrator huanghaisheng命令,给administrator 加了一个密码为huanghaisheng的密码。
然后调用 net.exe user 要密码找群主 huanghaisheng /add
net.exe localgroup administrators 要密码找群主 /add
然后关了你的机。开机后就出现了这种画面。
画面太美,我不敢看
这个的主要特点是:
1. 通过QQ群传播。--不然到哪里要密码找群主
2. 通过群应该是游戏群。---不然我个体验服飞车.exe,我才不会点呢
3. 意发科技,听起来好正规的样子。
4. huanghaisheng 黄海生,是群主名字还是群主他二大爷的名字?
二. 通过QQ要钱太没技术含量,万一对方不会上QQ呢?万一对方没办法找到另一台上网的电脑登陆QQ呢(因为这台被我加了密码了么)?没问题,敲诈者会为能排除这些障碍的。。
没法上QQ,电话总有吧,那得喽,您给我来个电话吧?
样本MD5:43c534b095235c3b8d7121e2baa2352a
易语言写的,net.exe user 当前用户 a984601077 。给当前用户加一个密码:a984601077
然后呢?然后就没有然后了,等到你重启电脑后,就这个样子了....
这个的主要特点:
1. 留电话,好联系
2. 没帮你自动关机,一直等到您玩够了电脑,关了机,睡了觉,睡醒了,开了机,才发现
三。 光敲诈能赚几个钱,我要靠技术吃饭
不但可以敲诈,还可以教你敲诈。授之于鱼不如授之以渔
样本MD5:812e688506f7a254f76211f450935bef
程序的名字叫作:首次突破卡红钻.exe
应该也是个靠游戏欺骗的。
运行后程序很萌萌哒
萌萌哒的后面已经通过net.exe user %username% 1141563248mima给你加了个1141563248mima的密码。然后lock workstation。给你锁屏了,点一下,还能登陆进去。但重启电脑后
哈哈,点了确定后,还能登陆进去。。应该是敲诈者太弦技术了,没有把 %username%替换成当前真实的用户名,密码没加成功。
四。 简单强暴型
样本MD5:b9990e5094ca6bb65d4adb6d5ff393a7
程序名字叫:小E漏洞一键领取QQ红钻三个月.exe
红钻三个月,好诱惑,运行后密码设成19950401。应该是生日,如果是敲诈者的生日的话,不得不说小小年纪就开始了敲诈,真是太有前途了。
五。假装功能
MD5:9b654989b279005b7b8413f3a487fcc7
运行后漂亮的界面,点了个播放音乐后,电脑关机了,设上密码了。密码就设成了1430865962
关机之前给弹个窗口
开机后:
整理的一批敲诈者的样本,样本的MD5 HASH为:
f8a34471018cc37c008555041b1623eb
f3f01f7c13bf3aa3cbbe2c5437d826bb
ecbde61eb3a9adfdf3e86cf6fab668cc
ebb4c712710cdbcd027e37c9580daa7a
dbb39a964223fe6d84a72c3bc72ed693
d02088e51306ed9fb8604dc36897b2b8
d02088e51306ed9fb8604dc36897b2b8
c4748d59e57280af27dbe767d6133d70
be8be1f73b157400bf39d0eca3ef0565
b9990e5094ca6bb65d4adb6d5ff393a7
632636c5f8e1f2824a37f312199b9523
812e688506f7a254f76211f450935bef
812e688506f7a254f76211f450935bef
92c7d7af91e5ab88a8440bbbabd0e27d
83e74d1a2d1a30ecd9b6700f7ff98ee5
43c534b095235c3b8d7121e2baa2352a
9b654989b279005b7b8413f3a487fcc7
08d8587a9de598110599aebef0a6d6ca
7cdc69578fa1c8d8e91ebe1b583047a7
7a3e070f232fda5e71bc3506005d35ae
4b449d0abf21b016b47d3489053f442b
1f70ddd1782805c08cf0f15820efa053
最后,看一下这类样本大多伪装成什么名字吧。