密码cuteftp

cuteftp  时间:2021-03-03  阅读:()
发布时间:2015年9月28日16时疯狂的窃密者——TEPFER安天安全研究与应急处理中心(AntiyCERT)疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页目录1概述.
12样本标签.
13代码分析.
14TEPFER窃取的密码类型65总结.
7附录一:关于安天.
8疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第1页1概述近期,安天CERT(安全研究与应急处理中心)研究人员发现木马家族Tepfer较为活跃,"中文名:小马(Pony)".
该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种.
Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.
dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.
dat文件窃取比特币信息.
Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法.
该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站.
2样本标签病毒名称Trojan[PSW]/Win32.
Tepfer原始文件名blow.
exeMD5D8C177781BA316966CE0567253C67CE1处理器架构X86-32文件大小84.
5KB(86,528字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015-05-2722:44:00数字签名NO加壳类型无编译语言BorlandDelphiv6.
0-v7.
0VT首次上传时间2015-06-19VT检测结果39/573代码分析Tepfer使用Push/Retn来代替正常跳转call[地址],这种方法在Tepfer代码中使用的次数非常多.
如下图,将地址0040F310压入栈中,使用retn跳转到地址0040F310处;而正常程序通常直接使用call0040F310.
疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页图1使用Push/Retn来代替正常跳转call[地址]Tepfer具有对抗卡巴斯基启发式的功能:图2对抗卡巴斯基启发式Tepfer检查自身是否运行在调试环境中,如果是,则退出.
获取系统SID后,提升自身权限,如果不成功则遍历系统进程,查找explorer.
exe进程,模拟用户登陆操作,如果成功则直接获取系统用户名,同时获取系统版本及操作系统类型及用户所在的国家.
同时向注册表项HKEY_CURRENT_USER\Software\WinRAR中,添加键"HWID",值为{70D82799-6E6E-483B-B515-DF854CEB107F}.
"HWID"键及键值用于回传的信息中.
图3添加注册表键值疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第3页Tepfer在检测系统中安装了哪些FTP软件、浏览器、工具,以及窃取密码所用的方法上非常具体,可以看出恶意代码作者进行了大量的信息收集、资料整理、账号密码存放位置的研究等工作,熟悉各种网页、数据库、邮箱、其他工具的密码存储方案.
oftware\_hisler\TotalCommanderoftware\_hisler\WindowsCommanderoftware\AceBIToftware\Adobe\Commonoftware\BPFTPoftware\BPFTP\BulletProofFTP\Mainoftware\BPFTP\BulletProofFTP\Optionsoftware\BulletProofSoftware\BulletProofFTPClient\Mainoftware\BulletProofSoftware\BulletProofFTPClient\Optionsoftware\ChromePlusOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}OFTWARE\Classes\TypeLib\{F9043C88-F6F2-101A-A3C9-08002B2F49FB}\1.
2\0\win32oftware\CoffeeCupSoftwareoftware\CoffeeCupSoftware\Internet\Profilesoftware\Cryer\WebSitePublisheroftware\ExpanDrive\Sessionsoftware\FarManager\Plugins\FTP\Hostsoftware\FarManager\SavedDialogHistory\FTPHostoftware\Far2\Plugins\FTP\Hostsoftware\Far2\SavedDialogHistory\FTPHostoftware\Far\Plugins\FTP\Hostsoftware\Far\SavedDialogHistory\FTPHostoftware\FileZillaoftware\FileZillaClientoftware\FlashFXPoftware\FlashFXP\3oftware\FlashFXP\4oftware\FlashPeak\BlazeFtp\Settingsoftware\FTPExplorer\FTPExplorer\Workspace\MFCToolBar-224oftware\FTPExplorer\Profilesoftware\FTPClient\Sitesoftware\FTPWare\COREFTP\Sitesoftware\GlobalSCAPE\CuteFTP6Home\QCToolbaroftware\GlobalSCAPE\CuteFTP6Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP7Home\QCToolbaroftware\GlobalSCAPE\CuteFTP7Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP8Home\QCToolbaroftware\GlobalSCAPE\CuteFTP8Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP9\QCToolbarOFTWARE\LeapWareoftware\LeechFTPoftware\MartinPrikryloftware\MAS-Soft\FTPInfo\Setupoftware\Microsoft\InternetExplorer\IntelliForms\Storage2oftware\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersoftware\Mozillaoftware\NCHSoftware\ClassicFTP\FTPAccountsOFTWARE\NCHSoftware\Fling\Accountsoftware\NicoMakComputing\WinZip\FTPoftware\NicoMakComputing\WinZip\mru\jobsOFTWARE\Robo-FTP3.
7\FTPServersOFTWARE\Robo-FTP3.
7\Scriptsoftware\SimonTatham\PuTTY\Sessionsoftware\SoftX.
org\FTPClient\Sitesoftware\Sota\FFFTPoftware\Sota\FFFTP\Optionsoftware\SouthRiverTechnologies\WebDrive\Connectionsoftware\TurboFTPoftware\VanDyke\SecureFX上表是Tepfer查询的注册表项,Tepfer使用指定的注册表项或键值、指定的.
ini文件、指定的.
dat文件、指定的目录及文件等方式窃取账号和密码.
下图为使用指定注册表项查询:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第4页图4查询指定注册表项图5获取FTP用户名和密码通过.
ini文件获取用户名密码:图6通过.
ini文件获取用户名密码可以通过以下.
ini获取对应的FTP软件的用户名和密码:wcx_ftp.
inisites.
ini32BitFtp.
iniwiseftpsrvs.
iniwiseftp.
iniprofiles.
iniNDSites.
iniftpsite.
iniproject.
iniAccounts.
ini还可以通过sm.
dat文件获取CuteFTP软件的用户名和密码.
Tepfer内部包含一个加密的密码表,解密算法是异或1,解密后的密码表用于暴力破解系统开机密码.
密码表见附录一.
破解代码如下图所示:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第5页图7使用密码表暴力破解系统开机密码Tepfer还可以通过浏览器窃取用户已保存的网站登陆账号和密码,以Chrome浏览器举例,Chrome将用户保存的网站密码存储在本机目录中:%ApplicationData%\Google\Chrome\UserData\Default\LoginData该文件是SQLite数据库文件,并使用系统账户密码进行了加密.
Tepfer通过暴力破解系统开机密码,可以间接解密用户使用Chrome浏览器保存在本机中的网站登陆账号和密码.
其他软件的账号和密码这里不进行具体的介绍.
Tepfer将收集到的信息保存到SQLite数据库中,并使用RC4算法加密,发送至远程服务器:http://obiheros.
com/prod/panel/gate.
php疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第6页图8信息回传图9回传的加密信息4Tepfer窃取的密码类型据统计,Tepfer家族可以盗取60多种FTP客户端所保存的密码信息,种类见下图:32bitFTPCyberduckFreshFTPFTPShellsherrodFTP3D-FTPDeluxeFTPFrigate3FTPGoFTPSitemapperAceFTPDirectFTPFTPCommanderLeachFTPSmartFTPALFTPEasyFTPFTPControlLeapFTPStaff-FTPBitKinexExpanDriveFTPExplorerLinasFTPTurboFTPBlazeFTPFastTrackFTPFTPNowMyFTPUltraFTP疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第7页BulletProofFTPFFFTPFTPSurferNetDriveWebDriveClassicFTPFileZillaFTPVoyagerNovaFTPWinFTPCoffeeCupFTPFireFTPFTPGetterXftpWinSCPCoreFTPFlashFTPFTPInfoRobo-FTPWiseFTPCuteFTPFreeFTPFTPRushSecureFXWS_FTPOdinSecureFTPExpertTepfer尝试窃取邮件客户端敏感信息:Becky!
IncredMailOutlookPocomailTheBat!
ThunderbirdWindowsLiveMailWindowsMailTepfer尝试窃取浏览器敏感信息:ChromePlusMozillaComodoDragonChromiumSRWareIronK-MeleonFireFoxSeaMonkeyInternetExplorerYandexInternetCoolNovoOpreaRockMeltGooleChromeFastStoreBrowserTepfer对文件进行暴力搜索,收集31种类型的比特币:AnoncoinDigitalcoinI0coinMegacoinPrimecoinBBQcoinFastcoinInfinitecoinMincoinQuarkcoinBitcoinFeathercoinIxcoinNamecoinTagcoinBytecoinFlorincoinJunkcoinNovaCoinTerracoinCraftcoinFreicoinLitecoinPhoenixcoinWorldcoinDevcoinGoldCoinLuckycoinPPCoinYacoinZetacoinTepfer尝试窃取其他工具的敏感信息:AdobeCommonSiteServersCoffeeCupVissualCentificateNETFileFlingBromium(YandexChrome)DirectoryOpusDreamweaverPuttyFlockTotalCommanderSiteDesignerNexusFileRDPWinZipWebSitePublisherFARManagerNichromeEpic5总结安天CERT研究人员发现,Tepfer家族至今活跃范围仍然很广泛,且Tepfer家族的信息接收服务器数量在近期仍在增长.
Tepfer家族的作者对FTP的兴趣极大,制作了相当繁杂的账号及密码的窃取方法,疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第8页想必一定花费了作者不少的时间和精力.
Tepfer的自我更新能力不强,因其作者更注重代码的质量和细节.
Tepfer家族的作者在全球范围内收集密码信息,以备它用.
安天CERT提醒广大用户,及时修改FTP软件的默认密码保存位置,不要使用简单的开机密码.
附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn

金山云:618年中促销,企业云服务器2核4G仅401.28元/年,827.64元/3年

金山云618年中促销活动正在进行中!金山云针对企业级新用户优惠力度比普通个人用户优惠力度要大,所以我们也是推荐企业新用户身份购买金山云企业级云服务器,尽量购买3年配置的,而不是限时秒杀活动中1年的机型。企业级用户购买金山云服务器推荐企业专区:云服务器N3 2核4G云服务器,1-5M带宽,827.64元/3年,性价比高,性能稳定!点击进入:金山云618年中促销活动目前,金山云基础型E1云服务器2核4...

Linode 18周年庆典活动 不断改进产品结构和体验

今天早上相比很多网友和一样收到来自Linode的庆祝18周年的邮件信息。和往年一样,他们会回顾在过去一年中的成绩,以及在未来准备改进的地方。虽然目前Linode商家没有提供以前JP1优化线路的机房,但是人家一直跟随自己的脚步在走,确实在云服务器市场上有自己的立足之地。我们看看过去一年中Linode的成就:第一、承诺投入 100,000 美元来帮助具有社会意识的非营利组织,促进有价值的革新。第二、发...

10GBIZ(月$2.36 ), 香港和洛杉矶CN2 GIA

10GBIZ服务商经常有看到隔壁的一些博客分享内容,我翻看网站看之前有记录过一篇,只不过由于服务商是2020年新成立的所以分享内容比较谨慎。这不至今已经有将近两年的服务商而且云服务产品也比较丰富,目前有看到10GBIZ服务商有提供香港、美国洛杉矶等多机房的云服务器、独立服务器和站群服务器。其中比较吸引到我们用户的是亚洲节点的包括香港、日本等七星级网络服务。具体我们看看相关的配置和线路产品。第一、香...

cuteftp为你推荐
操作httpwordpressWordPress 是什么?特朗普吐槽iPhone华为余承东吐槽iPhone X,除了贵啥优点都没有人人视频总部基地落户重庆2019.5.30号以后重庆有了新的迁入户口政策,请问外省户口以一般人才方式迁入重庆,可以按揭买房吗银花珠树晓来看用黄皮比喻心酸的诗句闪拍网闪拍网是真的吗爱买网超爱买网的特点开源网店开源网店系统 独立网店系统 淘宝 有什么区别?联系我们代码卸载失败!请联系我们帮助您解决!(错误代码13)--是什么情况长沙电话号码升位湖南长沙电话号码是几位数
域名解析服务器 过期已备案域名 locvps dreamhost 国外php空间 昆明蜗牛家 1美金 idc查询 个人免费主页 国外视频网站有哪些 上海电信测速 阿里dns 攻击服务器 乐视会员免费领取 万网服务器 winds websitepanel apachetomcat 服务器是什么意思 跟踪路由 更多