密码cuteftp
cuteftp 时间:2021-03-03 阅读:(
)
发布时间:2015年9月28日16时疯狂的窃密者——TEPFER安天安全研究与应急处理中心(AntiyCERT)疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页目录1概述.
12样本标签.
13代码分析.
14TEPFER窃取的密码类型65总结.
7附录一:关于安天.
8疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第1页1概述近期,安天CERT(安全研究与应急处理中心)研究人员发现木马家族Tepfer较为活跃,"中文名:小马(Pony)".
该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种.
Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.
dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.
dat文件窃取比特币信息.
Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法.
该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站.
2样本标签病毒名称Trojan[PSW]/Win32.
Tepfer原始文件名blow.
exeMD5D8C177781BA316966CE0567253C67CE1处理器架构X86-32文件大小84.
5KB(86,528字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015-05-2722:44:00数字签名NO加壳类型无编译语言BorlandDelphiv6.
0-v7.
0VT首次上传时间2015-06-19VT检测结果39/573代码分析Tepfer使用Push/Retn来代替正常跳转call[地址],这种方法在Tepfer代码中使用的次数非常多.
如下图,将地址0040F310压入栈中,使用retn跳转到地址0040F310处;而正常程序通常直接使用call0040F310.
疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页图1使用Push/Retn来代替正常跳转call[地址]Tepfer具有对抗卡巴斯基启发式的功能:图2对抗卡巴斯基启发式Tepfer检查自身是否运行在调试环境中,如果是,则退出.
获取系统SID后,提升自身权限,如果不成功则遍历系统进程,查找explorer.
exe进程,模拟用户登陆操作,如果成功则直接获取系统用户名,同时获取系统版本及操作系统类型及用户所在的国家.
同时向注册表项HKEY_CURRENT_USER\Software\WinRAR中,添加键"HWID",值为{70D82799-6E6E-483B-B515-DF854CEB107F}.
"HWID"键及键值用于回传的信息中.
图3添加注册表键值疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第3页Tepfer在检测系统中安装了哪些FTP软件、浏览器、工具,以及窃取密码所用的方法上非常具体,可以看出恶意代码作者进行了大量的信息收集、资料整理、账号密码存放位置的研究等工作,熟悉各种网页、数据库、邮箱、其他工具的密码存储方案.
oftware\_hisler\TotalCommanderoftware\_hisler\WindowsCommanderoftware\AceBIToftware\Adobe\Commonoftware\BPFTPoftware\BPFTP\BulletProofFTP\Mainoftware\BPFTP\BulletProofFTP\Optionsoftware\BulletProofSoftware\BulletProofFTPClient\Mainoftware\BulletProofSoftware\BulletProofFTPClient\Optionsoftware\ChromePlusOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}OFTWARE\Classes\TypeLib\{F9043C88-F6F2-101A-A3C9-08002B2F49FB}\1.
2\0\win32oftware\CoffeeCupSoftwareoftware\CoffeeCupSoftware\Internet\Profilesoftware\Cryer\WebSitePublisheroftware\ExpanDrive\Sessionsoftware\FarManager\Plugins\FTP\Hostsoftware\FarManager\SavedDialogHistory\FTPHostoftware\Far2\Plugins\FTP\Hostsoftware\Far2\SavedDialogHistory\FTPHostoftware\Far\Plugins\FTP\Hostsoftware\Far\SavedDialogHistory\FTPHostoftware\FileZillaoftware\FileZillaClientoftware\FlashFXPoftware\FlashFXP\3oftware\FlashFXP\4oftware\FlashPeak\BlazeFtp\Settingsoftware\FTPExplorer\FTPExplorer\Workspace\MFCToolBar-224oftware\FTPExplorer\Profilesoftware\FTPClient\Sitesoftware\FTPWare\COREFTP\Sitesoftware\GlobalSCAPE\CuteFTP6Home\QCToolbaroftware\GlobalSCAPE\CuteFTP6Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP7Home\QCToolbaroftware\GlobalSCAPE\CuteFTP7Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP8Home\QCToolbaroftware\GlobalSCAPE\CuteFTP8Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP9\QCToolbarOFTWARE\LeapWareoftware\LeechFTPoftware\MartinPrikryloftware\MAS-Soft\FTPInfo\Setupoftware\Microsoft\InternetExplorer\IntelliForms\Storage2oftware\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersoftware\Mozillaoftware\NCHSoftware\ClassicFTP\FTPAccountsOFTWARE\NCHSoftware\Fling\Accountsoftware\NicoMakComputing\WinZip\FTPoftware\NicoMakComputing\WinZip\mru\jobsOFTWARE\Robo-FTP3.
7\FTPServersOFTWARE\Robo-FTP3.
7\Scriptsoftware\SimonTatham\PuTTY\Sessionsoftware\SoftX.
org\FTPClient\Sitesoftware\Sota\FFFTPoftware\Sota\FFFTP\Optionsoftware\SouthRiverTechnologies\WebDrive\Connectionsoftware\TurboFTPoftware\VanDyke\SecureFX上表是Tepfer查询的注册表项,Tepfer使用指定的注册表项或键值、指定的.
ini文件、指定的.
dat文件、指定的目录及文件等方式窃取账号和密码.
下图为使用指定注册表项查询:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第4页图4查询指定注册表项图5获取FTP用户名和密码通过.
ini文件获取用户名密码:图6通过.
ini文件获取用户名密码可以通过以下.
ini获取对应的FTP软件的用户名和密码:wcx_ftp.
inisites.
ini32BitFtp.
iniwiseftpsrvs.
iniwiseftp.
iniprofiles.
iniNDSites.
iniftpsite.
iniproject.
iniAccounts.
ini还可以通过sm.
dat文件获取CuteFTP软件的用户名和密码.
Tepfer内部包含一个加密的密码表,解密算法是异或1,解密后的密码表用于暴力破解系统开机密码.
密码表见附录一.
破解代码如下图所示:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第5页图7使用密码表暴力破解系统开机密码Tepfer还可以通过浏览器窃取用户已保存的网站登陆账号和密码,以Chrome浏览器举例,Chrome将用户保存的网站密码存储在本机目录中:%ApplicationData%\Google\Chrome\UserData\Default\LoginData该文件是SQLite数据库文件,并使用系统账户密码进行了加密.
Tepfer通过暴力破解系统开机密码,可以间接解密用户使用Chrome浏览器保存在本机中的网站登陆账号和密码.
其他软件的账号和密码这里不进行具体的介绍.
Tepfer将收集到的信息保存到SQLite数据库中,并使用RC4算法加密,发送至远程服务器:http://obiheros.
com/prod/panel/gate.
php疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第6页图8信息回传图9回传的加密信息4Tepfer窃取的密码类型据统计,Tepfer家族可以盗取60多种FTP客户端所保存的密码信息,种类见下图:32bitFTPCyberduckFreshFTPFTPShellsherrodFTP3D-FTPDeluxeFTPFrigate3FTPGoFTPSitemapperAceFTPDirectFTPFTPCommanderLeachFTPSmartFTPALFTPEasyFTPFTPControlLeapFTPStaff-FTPBitKinexExpanDriveFTPExplorerLinasFTPTurboFTPBlazeFTPFastTrackFTPFTPNowMyFTPUltraFTP疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第7页BulletProofFTPFFFTPFTPSurferNetDriveWebDriveClassicFTPFileZillaFTPVoyagerNovaFTPWinFTPCoffeeCupFTPFireFTPFTPGetterXftpWinSCPCoreFTPFlashFTPFTPInfoRobo-FTPWiseFTPCuteFTPFreeFTPFTPRushSecureFXWS_FTPOdinSecureFTPExpertTepfer尝试窃取邮件客户端敏感信息:Becky!
IncredMailOutlookPocomailTheBat!
ThunderbirdWindowsLiveMailWindowsMailTepfer尝试窃取浏览器敏感信息:ChromePlusMozillaComodoDragonChromiumSRWareIronK-MeleonFireFoxSeaMonkeyInternetExplorerYandexInternetCoolNovoOpreaRockMeltGooleChromeFastStoreBrowserTepfer对文件进行暴力搜索,收集31种类型的比特币:AnoncoinDigitalcoinI0coinMegacoinPrimecoinBBQcoinFastcoinInfinitecoinMincoinQuarkcoinBitcoinFeathercoinIxcoinNamecoinTagcoinBytecoinFlorincoinJunkcoinNovaCoinTerracoinCraftcoinFreicoinLitecoinPhoenixcoinWorldcoinDevcoinGoldCoinLuckycoinPPCoinYacoinZetacoinTepfer尝试窃取其他工具的敏感信息:AdobeCommonSiteServersCoffeeCupVissualCentificateNETFileFlingBromium(YandexChrome)DirectoryOpusDreamweaverPuttyFlockTotalCommanderSiteDesignerNexusFileRDPWinZipWebSitePublisherFARManagerNichromeEpic5总结安天CERT研究人员发现,Tepfer家族至今活跃范围仍然很广泛,且Tepfer家族的信息接收服务器数量在近期仍在增长.
Tepfer家族的作者对FTP的兴趣极大,制作了相当繁杂的账号及密码的窃取方法,疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第8页想必一定花费了作者不少的时间和精力.
Tepfer的自我更新能力不强,因其作者更注重代码的质量和细节.
Tepfer家族的作者在全球范围内收集密码信息,以备它用.
安天CERT提醒广大用户,及时修改FTP软件的默认密码保存位置,不要使用简单的开机密码.
附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn
hostwebis怎么样?hostwebis昨天在webhosting发布了几款美国高配置大硬盘机器,但报价需要联系客服。看了下该商家的其它产品,发现几款美国服务器、法国服务器还比较实惠,100Mbps不限流量,高配置大硬盘,$44/月起,有兴趣的可以关注一下。HostWebis是一家国外主机品牌,官网宣称1998年就成立了,根据目标市场的不同,以不同品牌名称提供网络托管服务。2003年,通过与W...
官方网站:点击访问青果云官方网站活动方案:—————————–活动规则—————————1、选购活动产品并下单(先不要支付)2、联系我司在线客服修改价格或领取赠送时间3、确认价格已按活动政策修改正确后,支付订单,到此产品开设成功4、本活动产品可以升级,升级所需费用按产品原价计算若发生退款,按资源实际使用情况折算为产品原价再退还剩余余额! 美国洛杉矶CN2_GIACPU内存系统盘流量宽带i...
RAKsmart 商家我们肯定不算陌生,目前主要的营销客户群肯定是我们。于是在去年的时候有新增很多很多的机房,比如也有测试过的日本、香港、美国机房,这不今年有新增韩国机房(记得去年是不是也有增加过)。且如果没有记错的话,之前VPS主机也有一次磁盘故障的问题。
这不今天有看到商家新增韩国服务器产品,当然目前我还不清楚商家韩国服务器的线路和速度情况,后面我搞一台测试机进行...
cuteftp为你推荐
操作httpiproute网关怎么设置?googlepr百度权重和googlePR都是些什么东西??中国企业在线用什么软件查找中国所有企业名称美要求解锁iPhone苹果美版有锁和无锁的区别申请支付宝账户如何申请支付宝账户刚刚网刚刚网上刷单被骗了5万多怎么办啊 报警有用吗加多宝与王老吉加多宝王老吉有什么区别吗?图文模块为什么我的QQ弄了图文模块只出现字没有图片?无忧验证码手机登录前程无忧怎么不显示登录验证码
长沙域名注册公司 北京vps godaddy域名解析 cpanel wdcp 百兆独享 工信部icp备案号 服务器托管什么意思 流媒体加速 银盘服务 台湾google 空间登入 网购分享 创速 乐视会员免费领取 双11促销 mteam globalsign e-mail 阿里云宕机故障 更多