telegram是病毒软件吗
一、样本简介
笃信服EDR安全团队,近来捕捉到一款新型打单病毒家属样本Vendetta。Vendetta是一款使用.NET框架开发的打单病毒样本,会加密主机系统中大部分文件后缀名的文件,加密后缀为.vendetta,同时其具有Telegram通讯功能,通过Telegram发送相应的主机历程信息以及加密信息,最后进行自删除。
打单信息内容如下所示:
二、具体分析
1.样本使用.NET框架开发,无加壳,如下所示:
2.判定程序是否已经运行,假如已经运行,则退出,如下所示:
3.天生日记文件log.html,如下所示:
4.判定系统地点地区,假如为以下国度地区,则退出,如下所示:
相应的国度地区列表,如下所示:
Russian、Russian (Belarus)、Russian (Kyrgyzstan)、Russian (Kazakhstan)、
Russian(Moldova)、Russian (Russia)、Russian (Ukraine)、Bashkir (Russia)、
Chechen(Russia)、Church Slavic (Russia)、Ossetic (Russia)、Sakha (Russia)、
Tatar(Russia)、Ukrainian、Ukrainian(Ukraine)、Azerbaijani、Azerbaijani(Cyrillic)、Azerbaijani (Cyrillic, Azerbaijan)、Azerbaijani (Latin)
Azerbaijani(Latin, Azerbaijan)、Armenian、Armenian(Armenia)、
Belarusian、Belarusian (Belarus)、Kazakh (Kazakhstan)、Kyrgyz、
Kyrgyz(Kyrgyzstan)、Kazakh、Romanian(Moldova)、Tajik、
Tajik(Cyrillic)、Tajik (Cyrillic, Tajikistan)、Uzbek、
Uzbek(Perso-Arabic)、Uzbek (Perso-Arabic, Afghanistan)、Uzbek (Cyrillic)、
Uzbek(Cyrillic, Uzbekistan)、Uzbek (Latin)、Uzbek (Latin, Uzbekistan)、
Turkmen、Turkmen (Turkmenistan)
5.罗列历程信息,然后天生历程信息文件processes.csv,并写入历程信息,如下所示:
6.罗列历程,结束掉相应的历程列表中的历程,如下所示:
相应的历程列表,如下所示:
notepad、devenv、msbuild、taskmgr、spoolsv、skypebackgroundhost、skypeapp、
searchui、samsungrapidsvc、redis-server、postgres、perfwatson2、open server x64、
openserver x32、open server x86、open server、nginx、named、mysqld、mongod、
memcached、jenkins、java、httpd、googleupdate、ftp、chrome、calculator、
firefox、winword、microsoftedge、microsoftedgecp、cmsserver、zf、dsq、
sqlsrvr、qqeimguard、企业QQ、qqeimplatform、tv_x64、teamviewer 13、wpscloudsvr、
WPS服务程序、提供账号登录、云存储等服务、teamviewer_service、igfxtray、igfxhk、
igfxem、igfxcuiservice、tv_w32、ss_privoxy、privoxy、userclient、qqprotect、
mqsvc、gnaupdaemon、mysqld-nt
7.随机天生password,如下所示:
使用RSA的公钥加密相应的password,并生password文件,如下所示:
RSA的公钥从公钥设置文件public.xml中读取,如下所示:
8.获取要加密的文件后缀名列表,一共三千多个,如下所示:
9.创建文件加密线程,如下所示:
遍历磁盘文件,如下所示:
假如文件存放在以下目次,则不进行加密,如下所示:
相应的目次列表,如下所示:
%ApplicationData%
%AllUsersProfile%
%ProgramData%
%ProgramFiles%
C:\Intel
C:\Nvidia
C:\intel
C:\nvidia
C:\Users\AllUsers
C:\Users\Allusers
C:\Users\allusers
C:\Users\Public
C:\Users\public
C:\Users\acdgq\Desktop
C:\Windows
C:\ProgramFiles
C:\ProgramFiles\Common Files
C:\ProgramFiles\Common Files\Microsoft\Exchange Server
C:\ProgramFiles\Common Files\Microsoft SQL Server
C:\ProgramFiles\Microsoft\Exchange Server
C:\ProgramFiles (x86)\Microsoft\Exchange Server
C:\ProgramFiles\Microsoft SQL Server
C:\ProgramFiles (x86)\Microsoft SQL Server
对遍历到的目次或文件进行相关处置,如下所示:
并保存相应的加密文件和非加密文件的文件信息encFiles.json、nonEncFiles.json,如下所示:
加密文件内容,如下所示:
10.加密文件的過逞,如下所示:
根据文件的大小,实行差别的加密程序,相应的加密程序如下所示:
加密后的文件为[加密后的原文件名]+vendetta,假如天生的加密后的文件名大于即是248,则使用[原文件名]+vendetta2为加密后的文件名,如下所示:
加密后的文件,如下所示:
11.获取主机的相关ID,创建Telegram通讯连接,将之宿世成的加密密钥以及历程列表信息通过Telegram发送,如下所示:
12.加密完成之后,通过Telegram发送相应的信息以及天生的设置文件等,如下所示:
13.天生相应的打单信息超文本文件How to decrypt files.html,如下所示:
并设置为自启动项,如下所示:
14.最后进行自删除操作,如下所示:
三、解决方案
笃信服EDR产品能有用检测及防备此类打单病毒家属样本及其变种,如下所示:
笃信服安全团队再次提示广博用户,打单病毒以防为主,现在大部分打单病毒加密后的文件都无法解密,留意日常防备棤施:
1.不要点击出处不明的邮件附件,不从不明网站下载软件;
2.实时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞;
3.对重要的数据文件定期进行非当地备份;
4.尽量封闭不须要的文件共享权限以及封闭不须要的端口,如:445,135,139,3389等;
5.RDP长途服务器等连接尽量使用强密码,不要使用弱密码;
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。
*本文作者:千里目安全试验室,转载请注明来自FreeBuf.COM
思科Talos研究职员发现了名为Telegrab的病毒,这个病毒会从telegram桌面版中盗取信息。
我们知道Telegram正受到俄罗斯媒体监视机构Roskomnadzor的打击,Roskomnadzor要求telegram分享技能细节以获取用户的聊天信息。上个月,俄罗斯政府封闭了telegram程序,由于telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。
盗取Telegram数据
分析这款恶意软件后研究职员发现,软件是由说俄语的黑客开发的,而目的也是俄语用户。
恶意代码是Telegrab恶意软件的一个变体,Telegrab初次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。
Telegrab恶意软件的第二个版本发现于2018年4月10日,开发团队好像非常活泼。
尽管Telegrab的第一个版本只会盗取文本文件,browser密码和cookie,但第二个版本实现了盗取Telegram缓存和Steam!登录密码、挟制telegram聊天的本领。
Talos研究职员发现,恶意代码故意制止与匿名服务相关的IP地点。
“在已往的一个半月里,Talos已经看到一种恶意软件的出现,它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日初次出现,并于4月10日出现第二个版本。“思科Talos公布的博客文章。
高调的黑客
病毒的作者也略显高调,他为Telegrab公布了几个YouTube视频教程。甚至把部分代码公布到了GitHub上。
恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息大概被容易泄漏。
“会话挟制是它最风趣的功能,这种打击确实会限定会话挟制,受害者从前的聊天也会受到影响,”Talos团队说。
病毒会在Windows硬盘上搜索Chrome密码,会话Cookie和文本文件,然后将其压缩并上传到pcloud.com。
对恶意软件分析后,研究职员把黑客和一个名叫Racoon Hacker的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。
Telegrab想要到达的目标是在不被检测!的环境下获取大量的用户密码。
这类的打击行为每每与大范围的黑客团伙无关。盗取到的密码可以被黑客用来登陆一些其他服务,好比vk.com,yandex.com,gmail.com,google.com等。
近来对于聊天工具的打击多了起来,之前也有针对Signal的打击。通讯软件客户端的葆护机制值得大家的关注。
* 参考出处:SecurityAffairs,作者Sphinx,转载注明来自FreeBuf.COM
本文分享自微信订阅号 – FreeBuf(freebuf),作者:Sphinx
原文出处及转载信息见文内具体说明,如有侵权,请联系 yunjia_community@tencent.com 删除。
原始发布时间:2018-05-22
本文参与 腾讯云自媒体分享计划 ,欢迎正在阅读的你也参加,一起分享。
Telegram 用户如今可以免费使用 PolySwarm 主动检测病毒机器人防备网络威胁
环球约超越2亿人使用 Telegram 应用程序,是一个非常盛行的通讯工具。 Telegram 对于那些想使用这个平台来对用户进行打击的“黑客”来说也是个很有吸引力的目的。在加密钱币的全球里偷窃者和挖矿者,Telegram 已经被以为是骗局温床。
如今,Telegram 用户和管理者可以免费使用 PolySwarm 扫描机器人(由威胁谍报/ 检测公司 PolySwarm 创建)免受恶意打击。
PolySwarm 扫描机器人可以被添加到群组中并主动扫描群组中共享的文件是否为恶意。一旦添加到群组中,扫描机器人将在检测到恶意内容时通知用户,管理员有权限是否删除该内容。个人使用者也可以直接发送可疑文件给扫描机器人并获取相关的具体信息和告诫。
PolySwarm 判断(是答复文件或内容是否为恶意)来自 PolySwarm 平台:由反病毒公司和安全专家构成的众包式威胁检测。 PolySwarm 搜集了30多个反病毒引擎提供文件恶意计划判断 — — 包括主流的杀毒公司加上!专精于某范畴的研究引擎 — — 来提供针对潜在病毒的葆护。
P
olySwarm 联合首创人兼首席安全官Ben Schmidt 说:“PolySwarm 的安全团队不停在讨论怎样让人们更轻易使用PolySwarm 的威胁检测功能,我们构建扫描机器人是为了让我们自己的Telegram 聊天群组用户提交潜在的恶意文件,并帮助他们在使用群组聊天群感到更放心。现在我们发现很显着的这对用户来说是很有效的工具,我们应该让更多的人都可以使用它。Telegram是第一个可以使用PolySwarm 扫描机器人的平台,我们也将很快在其他平台推出。”
[如图所示:PolySwarm 扫描机器人在 PolySwarm 中文 Telegram 频道中发现并制止了通过垃圾邮件机器人流传的恶意软件。这是一个展示它在运行时的例子。 ]
The Collective的首席运营官David Payton说:“管理着400多个Telegram 频道的Collective 公司正在多个频道上使用PolySwarm 扫描机器人,并天天将其添加到更多频道中。在我们Telegram 频道中使用PolySwarm 扫描机器人,可以让社区用户更放心地进行交流和互助,我们已经在Telegram 上看到了相当多的恶意机器人和打击者,因此我们很兴奋拥有这个免费工具,为我们的社区提供安全葆护。”
任何人都可以通过访问 Telegram 并蒐索 @PolySwarmBot 来试用 PolySwarm ScanBot (扫描机器人)。您可以单独使用或添加到组中。 PolySwarm(PolySwarm.network)可提供需要企业级主动检测和威胁谍报工具的安全专业职员直接使用。
PolySwarm 简介
PolySwarm是首个众包式威胁检测平台,使安全专家在生态系统中创建反病毒引擎,并以竞争的方法为用户提供了更精准的威胁检测。PolySwarm勉励全全球的安全专家参加这个平台,为企业用户个人提供亘古未有快速和正确的威胁检测,颠复85亿美元的信息安全产业。
本文网址:
http://www.1cm8858.com/d/202092816448_6460_3188383055/home
Ten articles before and after
与为什么我的红米6安装一些软件会失败-电报telegram技巧分享
中国近现代军事电子事业小考(一)傅范初-电报telegram技巧分享
电报码输入法如何使用新电报2017.09.26-电报telegram技巧分享
telegram(电报)代理mtproxy一键脚本重磅福利来了!免费tg节点高速连接到-电报telegram技巧分享
国产ts人妖伪娘亚美免费电报群搜索windowschannel上千影片在线看探花直播微博网红福利流出孕妇超全系列-电报telegram技巧分享
What is 24/38 as a decimal? – Convert 24/38 to decimal